Hallo,

ich speichere die UserID beim Einloggen eines Users in einer Session-Variable. Wenn dieser nun ein Formular ausfüllt, schicke ich seine UserID in einer Post-Variablen mit. Bei Formular-Empfang prüfe ich nun, ob diese über das Formular mit geschickte UserID mit der UserID in der Session-Variable und mit der aktuellen UserID übereinstimmt. Wenn das der Fall ist, schliesse ich, dass dieser User auch wirklich das Formular ausgefüllt hat.
Ist das richtig, oder habe ich da eine Sicherheitslücke?

Danke,
Frank

Das Mitschicken der ID ist gar nicht notwendig, da diese ja bereits serverseitig in der Sitzung vorliegt. Je weniger Informationen vom Client geschickt werden müssen/können, desto wenige können auch manipuliert werden.

Ah, danke Gumbo!