Moin!

$boese_tm=0;

[1] POST ist etwas sicherer als GET und zwar genau dann, wenn Du auch den Referrer prüfst.

Nein, auch bei GET kann man den Referrer prüfen! Das ist aber kein Sicherheitsgewinn, da man den Leerstring als Referrer auch zulassen muß - sonst kriegt man Probleme bei allen

Ansonsten ist das, was du hier präsentierst, auch nicht gerade sicher programmiert.

if ($HTTP_REFERER <> "Dein.Formular") {$boese_tm=1;}

if (($_SERVER['HTTP_REFERER'] != "")&&($_SERVER['HTTP_REFERER'] != "formularurl") {$boese_tm=1;}

Und womöglich auch die Methode:

if ($REQUEST_METHOD <> "POST") {$boese_tm=1;}

Entfällt, da $_POST ausgewertet wird...

[3] Die Eingabe prüfst Du serverserseitig:
if ($Eingabe > 6) {$boese_tm=1;}
if ($Eingabe < 1) {$boese_tm=1;}

if (($_POST['eingabe'] < 1)||($_POST['eingabe']>6)) {$boese_tm=1;}
...

if (round($Eingabe) <> $Eingabe) {$boese_tm=1;}
if ($boese_tm) { echo "Du böse!"; die() }
else {
#Deine Auswertung
}

- Sven Rautenberg