Marcin napisał(a):

>>HTTP_REFERER, mistrzu. Widać od razu.
>
> Przyznaje, ze o tym zapomnialem, ale:
> Pierwsza zasada. Nie ufac niczemu co przesyla klient.
> Wszystko moze podrobic, zwlaszcza w tak prostym protokole
> jak http.

Oczywiście. Co więcej - pole Referer jest domyślnie czyszczone przez
wiele firewalli (np. Nortona).
Gość mógł jednak nie wiedzieć o istnieniu takiego pola, nie mieć
firewalla i w ten sposób wpadł. Jeśli bank monitoruje te pola to bardzo
dobrze o nim świadczy - przynajmniej wyłapie mniej rozgarniętych
przestępców.

Pozdrawiam!