Hallo!

Sowas lässt sich leicht umgehen, indem man nicht die ID nach aussen gibt, sondern eine Session ID, und diese Session id ist wiederum mit der echten ID verlinkt, löscht man die ID, muss auch die Session gelöscht werden...

Es ist natürlich vom anwendungsgebiet abhängig, aber generell werden nur wirklich solche ids nach aussen kommuniziert die auch bestand haben, und zu keinem sicherheitsproblem führen.

siehe Erklärung des Systems: <?m=7162&t=1135>
Ich hatte auch an eine Session-ID/uniqid-ID[md5(uniqid (rand()));] gedacht. Nur ist so etwas schwer einzutippen. Nicht immer kann man sowas per Email einem zusenden.

MfG, André Laugks