Falsch, der Browser macht naemlich nichts anderes wenn du das Prozedere durchfuehrst. Wenn ich Matze richtig verstanden hab, will er folgendes:

• Seite foo.php wird aufgerufen, diese enthaelt einen AJAX-Link
• Wird dieser AJAX-Link geklickt, wird bar.php im Hintergrund aufgerufen, und verarbeitet

Zu verhindern gilt der zweite Schritt, d.h. das "unbeabsichtigte" Aufrufen von bar.php (z.B. weil der Link in Google indiziert wurde und als Suchergebnis angezeigt wird). Das liesse sich mit einem OTP leicht loesen, schliesslich ist das in der Ergebnis-URL gespeicherte Passwort nicht mehr gueltig

Man muss an dieser Stelle aber auch sagen, dass das AJAX-Script (in diesem Fall bar.php) alle Kontrollen machen muss, d.h. ist der User eingeloggt? Darf er die Aktion ueberhaupt vornehmen? Sind die Parameter gueltig? Alles andere waere grob fahrlaessig, wenn nicht sogar dumm.

Greetz
alcaeus