Cita:
Iniciado por truman_truman 
Nadie remotamente puede hacer eso, a no ser que tenga acceso al servidor. A mi entender no importa la url donde apunta el formulario, lo que importa son los datos que te envían en el. Lo mejor es capturar toda esa info y validar si esta correcta antes de hacer cualquier insert a la base de datos por ejemplo.
Si se puede truman_truman, si la pagina fuera vulnerable a XSS podrían crear un link en el mismo dominio con inyección JS (y el usuario ni lo notaria) y modificar mediante una función el ACTION del form y apuntarlo hacia otro servidor y si hablamos de un login, el atacante estaría recibiendo el usuario y contraseña del usuario.
Así que si es posible! lo que yo intento es ademas de proteger mi web contra XSS también intentar buscar cualquier otra vulnerabilidad de la cual se puedan aprovechar.
De igual manera agradezco tu comentario!
Y guiandome con lo que me dices, seria mas que suficiente con controlar que recibe y que no recibe mi PHP del form?