Also ich habe das so verstanden, dass ich die session_id von session(); dazu nutze eine gültige post-anfrage senden zu dürfen.
also hinterlege ich diese kombination in den submit-button. und jetzt? jetzt könnte ein angreifer immer noch die inputs manipulieren.Ja und?
Wenn deine SessionId 76a8bb6b78cddca003673faf lautet, kann der lange raten.
Ach in den Submit button kommt nur der md5-Code der SessionID - das ist ne Idee! bzw. muss das nicht mal ne SessionID sein sondern irgendeine ID diese wird in der Mysql-Tabelle secure_posts eingetragen.
ID........(INT)
post_ids..(VarChar(20))
timestamp.(INT)
wird eine post_id verbraucht wird der Eintrag gelöscht.
timestamp dient für timeouts. alle Einträge die älter wie 10 Minuten sind werden gelöscht.
Kalle