Moin,

erstmal danke.

Hidden-Variablen sind ein laecherlicher "Schutz".
Auch method="POST" ist nur ein schwacher Schutz.
Auf den Referrer kannst Du schon gar nicht gehen.

Das ist mir auch klar. Bin nur heute mal wieder drüber gestolpert.

Wenn schon muesstest Du mit Sessions oder aehnlichen

~snipp

gleichzeitig auf dem Server speichern.

Dieser Mechanismus (nicht genau dieser aber ein ähnlicher) ist implementiert(außerdem eine User/PWD-Kombination). Nur ist es halt so, daß, wenn einer mittels FB die Methode ändert eine Fehlerseite erhält.
Ich erweitere mal die Frage um den Punkt:"Ist es Userfriendly zu checken das die Methode falsch war und dem User das mitzuteilen" und lohnt sic der Aufwand (Projekte mehr privat und etwas B2B(um wenig Geld))?

Stefan