Hallo Christian Kruse,

Jetzt noch zum dritten Teil: üblich ist hier nicht, das Token in der Session zu speichern, sondern in einer Spalte bei dem Datum mit einem UNIQUE-Constraint.

Ok. Verstehe.

Sonst muss man das Token bei jedem Formular-Aufruf neu generieren und in der Session ändern; und wenn man das macht, ist man auch nicht mehr wirklich gegen einen Reload geschützt: ich rufe das Formular erneut auf, das Token ändert sich, ich lade die Seite mit dem POST-Request neu, das Token unterscheidet sich - zack, doppelter Datensatz.

Aber das muss man ja auch schon absichtlich machen. Zum Beispiel in zwei Browsertabs das Formular öffnen, es nur in einem abschicken und dann in beiden Tabs F5 drücken.

Bis demnächst
Matthias