Hallo,

Hat man nun die Übermittlung per GET, dann steht doch in der Adresszeile, welche Note man gewählt hat... man könnte theoretisch die Zeile manipulieren und einfach einen Wert über 6 angeben, um den Schnitt anzuheben. (Nachdem man das Cookie für Mehrfach-Abstimmung gelöscht hat, natürlich)

Sogesehen ist POST doch sicherer oder nicht? Weil dort keine Manipulationen möglich sind?

Nope - großer Irrtum: POST ist _genauso_ manipulierbar wie GET! Speichere doch mal das POST-Formular lokal ab, ändere das action-Attribut dass er auch garantiert auf dein Script auf dem Server zeigt, füge noch einen Auswahlpunkt für eine "Note 8" hinzu und schicke es ab. Der Aufwand ist größer, aber dennoch kein Hindernis!

Grundsätzlich: Eingaben müssen _immer_ vom Bearbeitungsscript überprüft werden. Am Besten man lässt erst einen regulären Ausdrück à la preg_match ('/^'.$expression.'$/', $_POST['variable']); drüber los und dann prüft man noch, ob die Variable sich im gültigen Bereich befindet.

Grüße,

Christian