Ein verstecktes Input-Element kann ich mir meines Erachtens auch hier nicht sparen. Und somit besteht erst recht wieder eine Manipulationsgefahr.

wieso? wenn der hash nicht mit dem in der datenbank übereinstimmt, wird nicht aktualisiert

ja eben.

nein, nichts eben :) dir gehts aber nicht darum, dass ich einen spezfischen datensatz manipulieren kann, sondern dass ich mit dem forumlar nicht andere daten manipulieren kann - wenn ich zb daten absende und anstatt id 1 plötzlich id 2 bearbeite

mediawiki schützt sich davor lediglich indem die revisionsnummer der bearbeitungsgrundlage mitübergeben wird - ist diese in der versionsgeschichte des zu bearbeitenden artikels nicht enthalten, schlägt die bearbeitung fehl

wenn ich den quelltext aber so manipuliere, dass ich die daten eines anderen artikels eintrage, könnte ich das umgehen - aber warum sollte ich das wollen, den anderen artikel kann ich sowieso bearbeiten - wenn ich keine rechte dazu habe, greift ohnehin eine andere logik