Hi,

Der String kann ruhig aus dem Datum gebildet
werden und ein serverseitiges Script prüft
dann beim Aufruf der Seite, ob der String mit dem
Tagesdatum übereinstimmt, also z.Bsp.
patchwork.php?20020401 und wenn das nicht der Fall
ist, wird einfach nix angezeigt (oder Weiterleitung
zur Homepage).

Wenn schon, dann wenigstens die Ziffern transformieren und verwürfeln (hash-Funktion).
Es darf dem Angreifer nicht möglich sein, eine "ähnliche" Zahl wie eine bereits existierende zu verwenden und damit durchzukommen.
Wenn in dem Parameterwert der UNIX time stamp seiner Generierung drin steckt, dann kann man serverseitig seine Gültigkeit sekundengenau definieren ...

Nächste Verschärfung: Eine Prüfsumme drauf, sagen wir mal aus weiteren 8 Ziffern, dann ist die Wahrscheinlichkeit für ein korrektes Raten des Feindes etwa 1 zu 10^8.
Und außerdem sieht man dem Query-String in diesem Falle seine Semantik nicht mehr an.

Viele Grüße
      Michael
(der so etwas Ähnliches mal für einen Kunden bauen mußte, der eine "closed user group" ohne zusätzlichen login-Vorgang verlangte - mit einem "holy referrer" innerhalb eines geschützten Bereichs)