Hallo!

also login per formular, daten check aus msqldb, wenn ok dann session_start().
dann kann man doch eigentlich _nur_ als eigeloggter user zb. im forum posten wenn ich das so will ?

Kommt drauf an wie DU das genau machst, wenn Du nur prüfst ob eien Session existiert könnte er die sich evtl auch in einem anderen Script auf Deinem Server besorgen, theoretisch.

wieder ein beispiel:
if ( $_GET["action"] && $_GET["action"] == "update_user" && $_POST["id"] == $_SESSION["id"]) { ... }

Das ist schön und gut, aber man kann nur aussagen machen wenn man komplette Scipte sieht, denn es gibt viele Progammierfehler, die man ausnutzen könnte, udm eien Session mit einer gültigen ID zu bekommen... das Thema ist schon oft hier diskutiert worden, suche mal nach "session login", oder "session sicherheit"...

damit könnte nur der sein daten verändern der sie verändern soll oder ?
in dem fall seine eigenen daten ändern, in dem in einem hidden field die id übergeben wird...

So wie das da oben aussieht könnte er einfach die ID von einem fremden Posting in seine eigene ändern und könnte es so editieren, aber wie gesagt, ich habe meine Kristallkugel zur Zeit leider verliehen ;-)

Grüße
Andreas

PS: Denke daran das man nicht unbedingt genau Deine HTML-Seite und Deinen Server braucht um den HTTP-Request abzuschicken!