Moin Moin!

Und wenn wir schon dabei sind: Wer sich darauf verläßt, dass der Client irgendwelche Daten unmodifiziert wieder zurück zum Server bringt, ist verlassen. In aller Regel sollte man alle Daten auf dem Server halten und die Zuordnung zwischen Server-Daten und Benutzer durch eine Session erledigen. Eine eigene Session-Verwaltung zu stricken ist meistens unnötiger Aufwand, die vorhandenen Systeme sind mittlerweile wohl ausgereift genug. So wird nur eine Session-ID zum Client geschickt, fälscht der Client diese ID, fliegt er raus.

Grundregel aller Client-Server-Anwendungen: Alle Daten vom Client sind bösartige Angriffe auf den Server, bis das Gegenteil durch eine Validierung der Daten bewiesen ist.

Alexander