Hallo Phil

Den Zufallswert muß Dir der Server übergeben haben. Also:

<input type="hidden" name="rand" value="??? was immer der Server halt hier reinschreibt"/>

Was meinst du mit "was immer der Srver hier halt reinschreibt".
Oder meinst  du das per JS die value generiert wird. Siehe unten!?

Der Server enthält z.B. in Form eines PHP-Skriptes sowas in der Art wie:

$rand=tolle_funktion_die_irgendeinen_String_generiert();  
echo "<input type='hidden' name='rand' value='$rand'/>";  
// Jetzt noch $rand in der Datenbank speichern, z.B.:  
  
mysql_query("INSERT INTO rand SET rand='$rand'");  
// Fehlerbehandlung nicht vergessen.

Das meine ich damit.

Beim Auswerten braucht man nachher noch den hier:

$res=mysql_query("SELECT COUNT(rand) FROM rand WHERE rand='".$_GET['rand']."'");  
$row=mysql_fetch_array($res);  
if ($row[0]!=1) {  
        Fehler an den Benutzter.  
        exit(0);  
}  
// Jetzt Login realisieren.  
// Auch hier wieder: Fehlerbehandlung nicht vergessen.

Gruß, Bodo