hallo,

ich bin verstockt oder zu doof.

Solange keiner weiß, wie der MD5-Hash generiert wird, kann er doch auch keine gültige URL schicken, oder nicht? Und ob $secret dann konstant ist, halte ich für irrelevant, da es ja nicht in der URL übergeben wird, sondern in den beiden Scripten versteckt ist.

Wie dem auch sei, wahrscheinlich hast Du Recht und es ist besser, direkt im anzeigenden Script die Berechtigung zu prüfen...

toby