moment moment noch mal ganz langsam..

Also ich habe das so verstanden, dass ich die session_id von session(); dazu nutze eine gültige post-anfrage senden zu dürfen.
also hinterlege ich diese kombination in den submit-button. und jetzt? jetzt könnte ein angreifer immer noch die inputs manipulieren.

das Sessions besser sind wie die GET-Methode oder Hidden-Felder habe ich begriffen. es ist nicht nur schöner sondern auch sicherer, da die variablen nicht überschrieben werden können.

aber ich glaube die gutschein-methode habe ich noch nicht ganz kapiert.

Und ist es tatsächlich möglich den $_SERVER["HTTP_REFERER"] zu manipulieren? ich dachte das ist eine SERVER-VAriable die mein SERVER erzeugt???
[ SEHR WEIT AUSHOL ]
Worauf kann man sich denn überhaupt noch verlassen?
Warum gibt es so viele Sicherheitslücken?
Ich sag euch: unsere Gesellscahft ist überhaupt noch nicht bereit für die Technologie von Heute. Die leute füllen ja immer noch Gewinnspiel-Zettel aus worauf auch stehen könnte: "Sie sind damit einverstanden 2 Esel im Wert von je 199,00 EUR zu kaufen" und 50% würden es machen. Was ich damit sagen will: das Internet ist zwar 2.0 und so weiter aber trotzdem noch in der BETA-Phase wenn ihr mich fragt!
[ /SEHR WEIT AUSHOL ]

und jetzt noch mal die Frage zu strip_tags():
wenn ich <a> erlaube kann ich trotzdem eingeben:
<a href="JavaScript:alert('Hallo');">test</a>
und vorausgesetzt ich wende stripslashes() darauf an und gebe das ganze einfach aus könnte ich das javascript auch ausführen.

"Diese Funktion modifiziert keine Attribute bei Tags, die via allowable_tags  erlaubt wurden, dies betrifft auch style und onmouseover Attribute, die ein böswilliger User verwenden kann, um einen Text zu posten, der von anderen Usern gesehen werden soll."

Ein Feld in meinem Projekt soll HTML enthalten dürfen, ist das etwa ein ding der unmachbarkeit?

Kalle