Zuersteinmal danke für Eure Gedanken auch noch zu später österlicher Stunde ;-). Ja cheatah, wenn ich die Session ID an den Link anhänge (und jetzt sind wir bei Programmiertechnik Christoph, danke für den Hinweis) also ein trans.sid = 1 im Beispiel vom Apache + Php setze, dann geht ja immer die SID mit über die requests und dann könnte ich eine Form zumindest in der Form nicht mehr so einfach fälschen.

Nur was ich ja eben dann habe ist, dass sich irgendwer einloggt, ein Bookmark setzt und da die Sessionid anhängt (ich gehe immer vom DAU aus). Ein böser Bube könnte dann (was unwahrscheinlich ist, ja) dort die Session ID sehen und in den Account rein.

Wenn ich es zusammenfasse ist dann aber eine kurze Sessionlaufzeit (sie steht momentan bei 4 Stunden) kombiniert mit der Übergabe der Sessionid an jedem request das sauberste und die sicherste Lösung des Problems, korrekt?