hi,

Meine Herren,

Also ich hab mir dafür ganz einfach die $_SESSION genommen. Nur quasi "eingeloggt" ist, bekommt die Antworten. Geht natürlich auch mit einem bestimmten String im Cookie. Denke das die 2 Dinge dir als Anstoß ausreichen!

Die Parameter lassen auch faken. Imho. ist das kein sicherer Weg. Die einzige und wohl sehr ernüchterne Antwort die ich geben kann, ist den Fall der Rechtsabteilung zu überlassen.

Wohl etwas übertriebene Maßnahme ...
Zudem gibt es bei Cookies (welche ja auch bei Sessions im einsatz sind) die Beschränkung auf Domains. Würde man von der fremden Seite zugreifen, würde das Cookie nicht von der Richtigen Seite gesetzt und somit vom Browser nicht mitgesendet. Zwar keine Volle sicherheit, dürfte aber schon einschränken.

Will man es übertreiben, könnte man noch die IP der Anfragenden beim ersten Aufruf der Seite speichern und bei den AJAX-Anfragen dagegen prüfen. Ich glaub aber, dass einige Maßnahmen mehr Last bringen, als Sie dann wirklich vermeiden.

Gruß Niklas