Hallo Blümchen,

indem man keine unerwarteten $_POST zuläßt!
Dazu gibt es zwei Wege:

a - _alle_ Variablen des Scripte werden initialisiert!
    Uninitialisierte Variablen werden nicht verwendet.
    Alle includierten Scripte werden auf Einhaltung der Vorgabe kontrolliert.

b - "unerwartete" Requests werden im Ablauf nicht zugelassen.
    Dazu verwendet man eine zeitlich streng begrenzte Form-ID,
    welche erst beim Aufruf dynamisch erzeugt wird.
    Wer zu spät kommt, hat das Nachsehen ...

Die Kombination der Methoden sollte den gewünschten Effekt bringen.

m.b.G. Rolf