moin,

die ID ist in diesem fall eine nummer, die in der sql-datenbank unter dem jew. user vorhanden sein muss. die ID schicke ich bei jeder aktion als input type hidden mit, nachdem sich der user mit passwort eingeloggt hat. wenn die ID nicht mit der DB übereinstimmt breche ich das script schon ganz oben komplett ab. denkst du das ist ausreichend?

Wenn die ID serverseitig vorliegt ist es unsinnig sie über HTTP zu schleifen. Und was das Speichern von Dateien betrifft: Die Lösung heißt Quarantäne. Also Speichern der Dateien in einem Verzeichnis wo sie keinen Schaden anrichten können einfach nur fortlaufend numeriert wobei diese Nummern serverseitig vergeben werden. Wenn Du ohnehin eine DB Anbindung hast, gibt es auch fortlaufende Nummern, die Metadaten müssen sowieso erfasst werden.

MFG