На этот случай придуманы всякие "обходные маневры" в ПХП, типа можно проверить User-Agent, HTTP-referrer, генерить и проверять SID ну и еще пару фишек в том же духе... но, все равно, замаскироваться под клиента возможно... так что это сразу же нужно принимать во внимание. Да, и еще ПХП файл можно скачать, если соответствующие привилегии выставлены.

Хм... в таком случае я бы делал примерно следующее:
логинимся -> генерим SID -> (если есть возможность mxmlc положить на сервер, и там его запускать) генерим флешку с этим SID и отдаем ее пользователю -> пользователь при запросе отдает этот же SID -> проверяем, если совпало - посылаем, если нет -> до свидания =) конечно, можно вскрыть флешку, найти ключ и быстренько перенастроить клиента, чтобы тот посылал запросы используя новый ключ, но это уже на порядок заморочливее... а если ключ еще будет по-разному раскидан внутри флешки каждый раз + експарился, через, скажем, полчаса... ну, вобщем, конечно не идеально, но автоматизировать процесс будет очень не просто...

а что, доступ в базу, у вас происходит без логина и пароля ? или вы его любезно держите в php скрипте или вы просто не закрываете соединение, с базой после обращения к ней ?

самое простое, не держим пароли вобще не где, собственно вводим в форму, которая посылает введенные данные скрипту и все, даже если кто то узнает путь, до php и запустит ,собственно откуда то его, то толк он не получит не какой ....

А что если злоумышленник - это вполне себе законно зарегистрировавшийся пользователь?

эм, ну тут да, конечно не сладко, чето я не подумал ...

Ребята, значит когда я вижу на какой-либо флэш-страничке "Устанавливается защищенное соединение с сервером" это все полная ерунда?

Нет, это просто из другой оперы =) соединенное соединение (HTTPS) шифрует то, что передаем / получаем, но никак не "куда".

Кстати, не нашел ни одного нормального обфускатора. Та же Amayeta не хочет дружить с AS3 :( Практически ничего в коде не изменила (пробовал на нескольких своих флешках), даже не усложнила читабельность кода...

Скажите, это делается не одними только средствами флэша, как я понимаю? Может есть у кого ссылочка на подробное описание как это сделать...

Имеет смысл всёж же как-то на сервере следить за принимаемыми скриптом данными. Например реализовать аутентификацию пользователю, не давать ему слать письма слишком часто или вовсе выделить лимит в день...