das Prinzip klingt einleuchtend: Beim POST-Request wird überprüft, ob der "User" vorher auf der Seite war, wo er ein Form ausgefüllt hat, also der Referrer. Wodurch unterscheidet sich deine Methode davon, einfach den Referrer abzufragen?

Der Referrer kann einfach manipuliert werden. Und das wird auch gemacht.

Der Wert aus microtime ist der name des hidden-Field oder der value?

Der value. e.g. if($_POST["formts"] != $_SESSION["formts"]) etc...

In einem andren Ansatz, den ich gelesen hatte, werden die Namen der Formularfelder dynamisch generiert. Das erschien mir auch sinnig. Was hälst Du davon?

Viel. Ich denke das kann sehr gute Ergebnisse bringen wenn alles andere versagt. Ich musste davon nur keinen Gebrauch mehr machen, da die Methoden schon wirksam waren.

Cheers, Baba