Hi,

Ich möchte nun verhindern, dass jemand an der URL rumspielt bzw. über die URL irgendeinen Schadcode einbringt.

Dann nutze saemtliche uebergebene Werte nur innerhalb eines streng definierten Rahmens.

Die einzige Möglichkeit, die ich kenne, um eine Manupulation an der URL zu verhindern ist, dass ich überprüfe, ob die Session noch vorhanden ist. Wenn ja, dann wurde Seite korrekt aufgerufen. Ist sie nicht mehr vorhanden, dann wurde höchstwahrshceinlich an der URL rumgespielt und ich logge den User aus.

So lange ich die Session-ID uebergebe, erkennt der Server meinen Client wieder. Ueber alle anderen Parameter, die per URL uebergeben wurden, sagt dieser Umstand absolut Nichts aus.

Wie kann ich alternativ eine Manupulation an der URL erkennen?

Gar nicht.
Du kannst hoechstens Werte als ungueltig abweisen. Dazu musst du aber zuerst mal genau definieren, was gueltig ist.

Alternative Sicherheitsmechanismen?

Du solltest erst mal die Gefahr definieren, bevor du dir Gedanken um ihre Abwehr machst.

MfG ChrisB