Hallo,

Aber jetzt meine Frage:
Ich lese hin und wieder, dass vom dynamischen Generieren von hidden-fields abzuraten ist, da sie ein Sicherheitsproblem darstellen.

naja, nicht mehr und nicht weniger als bei jeder anderen Methode auch.

Ich hab vielleicht zu wenig Ahnung vom Manipulieren eines HTTP-Headers, und verstehe es deshalb nicht so ganz.

Nein, mit HTTP-Headern hat das auch gar nichts zu tun. Formularfelder (auch vom Typ "hidden") werden ja je nach Zugriffsmethode in der URL (GET) oder im Request Body (POST) übertragen.

Aber weshalb sollte von hidden-fields abzuraten sein?

Weil der Benutzer die Inhalte dieser Felder beliebig manipulieren kann. Das kann dir aber egal sein, wenn du im letzten Schritt sowieso eine Plausibilitätskontrolle über alle eingegebenen Daten machst (was du auf jeden Fall tun solltest).

Ein hidden field sorgt doch nur dafür, dass in den Header zum Beispiel eine $_POST-Variable geschrieben wird, welche dann vom aufgerufenen Skript ausgewertet werden kann, oder?

Nein, eben nicht in den *Header*, sondern in den Body.

Das einzige was ich an hidden-fields unangenehm finde, ist das Sie im HTML-Code auftauchen, aber es geht doch überhaupt nicht anders, wenn ich keine Sessions oder Cookies benutze.

Richtig.

Schönen Abend noch,
 Martin