Hi,

Also eine Website… Wenn ich als Link www.example.com/qr_img/13.png anbiete (13 ist die ID des Nutzers), kann der sich natürlich munter alle möglichen anderen Codes anzeigen lassen.

statt einer einfachen numerischen ID wie 13 könntest Du eine UUID für jeden User generieren und in der User-Tabelle speichern. Und diese UUID hängst Du dann in die URL.

Es ist dann zwar immer noch möglich, alle möglichen UUID-Werte durchzugehen, aber der Aufwand ist doch etwas höher als wenn Du nur 1, 2, 3, ... durchprobieren müßtest.

cu,
Andreas a/k/a MudGuard