hi,

Vorschlag: Der Timestamp wird serverseitig in der Session gehalten und nicht zum Client gesendet, wo er manipuliert werden könnte.

Alternative (weil man ja vielleicht nicht immer das Geschütz Session für triviale Aufgaben zusätzlich auffahren möchte):
Timestamp im Klartext übertragen, plus MD5 (oder sonstigen Hash) von Timestamp plus $geheimWort.
Empfängerseitig abgleich, ob Hash von Klartext-Timestamp plus $geheimWort mit dem Kontrollwert übereinstimmt.

gruß,
wahsaga