Mahlzeit Heinrich,

Und diese neue Seite? Die überprüft dann wieder alle Variablen usw.?
Oder vertraut sie ihnen blind?

Die neue Seite prüft nur die SessionID wieder.

Du nutzt also Sessions. Warum legst Du die geprüften und damit sicher gültigen Werte nicht in der Session ab? Dort kann das Skript, was die Daten in die Datenbank speichern soll, sie wieder auslesen und kann sicher davon ausgehen, dass sie auch korrekt sind.

Bei den anderen Werten wird schon abgefangen, wenn sie außerhalb des Wertebereiches liegen.

Wann und wo? Im Formularskript oder in dem Skript, das die Daten letztlich in die Datenbank schreibt?

Warum? Unsicherer als per POST ist das auch nicht ...

Naja, jeder kann in der URL lesen, was da steht und beliebig Werte verändern. Die POST-Methode zu verändern mag zwar auch einfach sein, aber nicht so offensichtlich (ich wüsste nicht auf Anhieb wie).

Man nehme ein HTML-Formular und speichere es lokal ab. Anschließend manipuliere man beliebig im Quelltext herum, öffne die HTML-Datei im Browser seiner Wahl und schicke das Formular ab.

Wenn das Formularziel dann nicht absolut JEDE Anfrage von außen peinlichst genau überprüft, hast Du ein Problem. Im Prinzip kann jeder immer alles Mögliche an Dein Skript schicken (wenn Du das nicht per Firewall, ACL o.ä. ausschließt): ALL INPUT IS EVIL!

MfG,
EKKi