Hola amigo , lo que intentas hacer segun creo entender es una verificacion para verificar que los datos proceden del formulario en cuestion verdad? una autentificacion no?
pues si es para eso obviamente ocultando un campo con hidden no te sirve ya que es modificable como dijiste , lo ideal seria por sesiones tal y como te dijo
@PHPeros , pero yo queria añadir algo , en este post
http://www.forosdelweb.com/f18/segur...ml#post4464062 puedes observar como se añade la session para verificar la procedencia el valor de la session seria un token y el token lo mandas en la ruta del action del formulario y despues verificas si exista la session y lo comparas con el get de la url
Código PHP:
Ver original<?php
$_SESSION['TOKEN'] = hash('algo'); // generas un hash de un solo sentido este debe de ser aleatorio para que se vaya modificando en cada peticion y no se repita ;
?>
<form action="pagina.php?token=<?php echo $_SESSION['TOKEN']; ?>" method="post">
...
..
una vez recibido los datos en pagina.php
Código PHP:
Ver original<?php
if( isset($_SESSION['TOKEN']) and
isset($_GET['token']) and
$_GET['token'] == $_SESSION['TOKEN']) {
// tratamiento de datos $_post
}
else
{
}
tambien puedes añadir una marca de tiempo para que el token solo sea valido por x minutos.
lo que te he planteado es una idea un poco basica pero que puedes mejorar con paciencia.