Beh.... questi sono i commenti che mi aspettavo!

Ci avevo pensato anche io a questa possibilità, però ho anche considerato alcuni aspetti:

1. I nomi dei file che ho scritto sono a semplici e stupidi, per cui si possono sempre modificare a piacimento, ovviamente anche nel SWF. Si potrebbe ottenere il sorgente del file flash con un decompiler, però.... e qui vado al punto 2

2. Se anche racimolo il nome della pagina PHP, e la apro via browser, non ottengo altro che una pagina bianca, visto che non c'è HTML e che se richiamo la pagina da browser qesta viene comunque processata prima dal server. O no???

3. Per ogni browser, c'è una sessione (eventualmente aperta), quindi il problema principale della sicurezza si avrebbe con un session highjacking. Ma questo è un altro aspetto.

Ad ogni modo, mi piacerebbe sapere cosa ne pensi: ho postato questo codice anche per migliorarlo!