Lieber bleicher,

ich stehe hier ziemlich standhaft auf dem schlauch

das ist auch was wert. ;-)

ich verstehe ehrlich gesagt nicht, in welchem fall die prüfung scheitert?

Die Grundidee ist sicherzustellen, dass ein _Mensch_ das Formular abschickt. Ein Mensch wird sich dieses Formular garantiert vom Server laden, ausfüllen und abschicken.

Ein Script geht anders vor. Es parst das Formular, ermittelt, wo es in welchen Feldern welche Inhalte eintragen muss, um das Formular dann abzuschicken.

Mit dem Session-Mechanismus wird garantiert, dass das bearbeitete Formular vorher vom Server angefordert wurde, die dort eingetragenen Zufallswerte auch von dieser Anforderung stammen, sodass beim Auswerten des abgeschickten Formulars diese Werte wieder "kommen" müssen. Ein Script generiert selbst viele Formulare (und die ursprünglichen Zufallswerte werden nur weiterkopiert, anstatt frisch mit dem Server abgeglichen), die unter Umständen auch ohne Session-Werte abgeschickt werden.

Damit werden also nur Formulare erfolgreich bearbeitet, die innerhalb derselben Session angefordert wurden (das wird einem Script schwer fallen), da sie sozusagen durch die Zufallswerte "signiert" sind. Mit einer ersten Zwangsvorschau (die ein Mensch kapiert, ein Script eher nicht) wird zusätzlich SPAM vermieden, da in der Vorschau natürlich wieder frische Zufallswerte enthalten sind, die auch in der Session neu eingetragen wurden, sodass ein simples doppeltes Abschicken des identischen Formulares scheitern muss.

Klarer geworden?

Liebe Grüße,

Felix Riesterer.