Hallo Christian Kruse,

Sieht gut aus, mir gefallen die Änderungen. Jetzt noch zum dritten Teil: üblich ist hier nicht, das Token in der Session zu speichern, sondern in einer Spalte bei dem Datum mit einem UNIQUE-Constraint. Sonst muss man das Token bei jedem Formular-Aufruf neu generieren und in der Session ändern; und wenn man das macht, ist man auch nicht mehr wirklich gegen einen Reload geschützt: ich rufe das Formular erneut auf, das Token ändert sich, ich lade die Seite mit dem POST-Request neu, das Token unterscheidet sich - zack, doppelter Datensatz.

Ich bin (immer noch nicht sicher | jetzt wieder unsicher), ob das so stimmt:

• Formular wird im 1. Tab geladen -> $_POST-token = foo
• Formular wird im 2. Tab geladen -> $_POST-token = bar
• Formular wird im 2. Tab abgeschickt -> $_SESSION-token = bar
• 1. Tab wird refreshed -> $_POST-token = quz
• 2. Tab wird refreshed -> $_POST-token = $_SESSION-token = bar
  • => keine erneute Eintragung

Bis demnächst
Matthias