Was aber, wenn jemand den Quelltext kopiert, aus dem '<input type="hidden" name="article_id" value="23">' ein '<input type="hidden" name="article_id" value="25">' macht, das Ganze auf einem anderen Server ablegt und dort ausführt? Dann werden die Kommentar-Daten ja nach der Manipulation mit Artikel 25 statt mit Artikel 23 in Verbindung gebracht.

Das ist ein Grund, warum IDs die vorhersagbar sind, Angriffspunkte geben.
Das lässt sich aber einfach und 100% kontrolliert ändern.

Meine Überlegung war jetzt, dass ich mit einem '$referer=$_SERVER["HTTP_REFERER"];' vor der Weiterverarbeitung überprüfe, ob die zu übernehmenden Usereingaben auch _wirklich_ von meinem Formular, also zB von http://example.org/formular.php kommen und erst _dann_ eine Weiterverarbeitung vornehme.

Forget it....

mfg Beat