Hallo!

Moin
Naja ich versuch mich mal genauer auszudrücken, da fängt langsam an der schuh zu drücken ;)

Ich stell mir das so vor.

Zuerst der login. Daten in ein forumular eingeben die mit den daten ausner MySQL db verglichen werden, wenn ok dann login.

Nun bekommt der Surfer ne session id ( id = id in der mysql db ), die ist unabhängig davon was der browser für ne session id vergibt.
Wenn er jetzt zb nen forums post machen will, überprüfe ich zuerst ob in der session eine gültige session id gespeichert ist ( also ob der user überhaupt in der DB existiert )
Da fängt es doch schon an oder ?
In den forums-formular gibt es ein hidden field, darüber wird die session ID verschickt. Auf der zu verarbeitenden seite überprüfe ich ob $_POST["sessionID"] gleich der $_SESSION["id"] ( wieder die ID des users aus der login db ) ist. wenn das nicht der fall ist - kein post.

Theorethisch - zumindest denke ich das - dürfte auch wirklich nur ein eigeloggter user nen post machen können, oder?
Er kann zwar ein externes formular machen, was die gleiche id hat wie die die er im quelltext lesen kann ( die er eigentlich nicht lesen kann, weil wenn er es lesen könnte bräuchte er sich die mühe nicht machen ) er wird aber niemals an die sessionID kommen die ich der session nach dem login verpasse, also die ID aus der db. oder?

PS: Denke daran das man nicht unbedingt genau Deine HTML-Seite und Deinen Server braucht um den HTTP-Request abzuschicken!

Jo das ist mir klar ;)

Mfg Analpha