Hello,

Nein, das hat sich bisher vor mir verborgen gehalten, wie man mittels hidden-Field einen Wert beim User "durchschleifen" kann, ohne dass er ihn manipulieren kann.

Ich verstehe Dich nicht. Das sind doch die Eingaben des Users - eine "Manipulation" ist also identisch mit einer Eingabe. Prüfen muß man die Eingaben doch eh nach jedem Request.

Nein, der User lädt ein Bild hoch und einige Textfelder. Das Bild wird dann unter einem Zufallsnamen ausreichender Länge auf der Platte gespeichert, der Text zusammen mit dem Bildlink wieder zur Vorschau ausgegeben. Wenn der jetzt einen Fehler hat (fehlende Felder, zu kurz, Spam-emails statt einer einzigen, usw), gibt es auch eine entsprechende Fehlermeldung.

Der User kann seine Fehler beseitigen. Den Namen des Bildes auf der Platte des Servers muss er aber unmanipuliert wieder mitsenden. Ich kann zwar prüfen, ob er einen gültigen Bildnamen benutzt hat, aber ich kann nicht prüfen, ob er sich einen Bildnamen von einem siener Vorgänger geklaut hat. Dass er einen errät, ist sehr unwahrscheinlich, da der Name aus $_SERVER['UNIQUE_ID'] (bzw. später einem ähnlichen Schlüssel) gebildet wird.

Er kann sich aber ansehen, was andere schon hochgeladen haben, und daher auch den Bildnamen der vorhandenen Einträge ermitteln.

Ich wollte erst Siechfreds Weg gehen, aber da das File-Feld nicht vorbelegbar ist, müsste der User bei jeder Korrektur am Text auch das Bild neu heraussuchen.

Man wird es wohl nur zweistufig machen können. Erst den Text hochladen, den abgesegneten Text mit dem Platzhalter für das Bild dann anzeigen und dann das Bild Hinterherschicken. Dafür benötigt man dann aber wieder eine Userauthentifikation.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom