Mahlzeit Malcolm Beck´s,

Also müsste ich im Prinzip einfach nur ein hidden-Feld in mein Formular einbauen, in dem ich ein „Passwort“ festlege, den niemand kennt

Du solltest dort kein allgemeines "Passwort" angeben, sondern eher eine Art "Coupon", der nicht erratbar (Stichwort MD5) und nur einmalig gültig ist. Dafür sollte auf dem Server gespeichert werden, an wen (d.h. welchen Benutzer oder welchen Session-Cookie) welcher "Coupon" ausgegeben wurde. Wenn dann der richtige Benutzer (bzw. Browser mittels Session-Cookie) einen Request mit einem passenden, noch nicht benutzten "Coupon" absetzt, wird es verarbeitet und der "Coupon" "entwertet". Wenn jemand ohne oder mit ungültigem bzw. entwerteten "Coupon" kommt, passiert nichts oder es kommt ein entsprechender Hinweis.

(so lange er nicht ins Backend kommt); solange niemand Einblick ins Backend hat, kann er diese Daten auch nicht wissen.

"Security by obscurity" funktioniert nie.

MfG,
EKKi