hi,

Zu prinzipiellen Vorgehen: Erzeuge eine SessionID (md5(microtime().serialize($_SERVER).serialize($_REQUEST))) und schreibe sie in ein verstecktes Eingabefeld und in eine Datenbank (das kann auch eine Text-Datei sein, SQL ist nicht zwingend erforderlich).

Die Datenbank, bzw. generell das serverseitige Ablegen halte ich auch für entbehrlich.

Um den zeitlichen Abstand zu prüfen, kann man den Timestamp ja auch ruhig im Klartext übergeben, damit ist ein einfacher Vergleich möglich.

Damit dieser Timestamp nicht manipuliert werden kann, übergibt man dann zusätzlich md5($timestamp.$geheimerString) - damit kann man kontrollieren, ob der Timestamp "echt" ist.

gruß,
wahsaga