Hallo

das hidden-Feld im Formular muss die "23" ja irgendwo her haben sprich das Formular wird zumindest teilweise serverseitig generiert.

Speicher doch im Formular-generierenden Skript die Artikel-ID in einer Session-Variablen und generiere einen Pseudozufallscode, der mit der Artikel-ID verknüpft ist und nur der Session und dem Formular (hidden) bekannt ist. Das zweite ist nötig für den Fall, dass der User mehrere Formulare öffnet.

Nun kann der User zwar den Code ändern, aber da Du beim Empfängerskript dessen Existens und Gültigkeit überprüfen kannst, ist Missbrauch "weitestgehend" ausgeschlossen.

Mal so ne Idee. Oder habe ich wieder was übersehen?

Gruß vom foomaker