Witam!
Chcę napisać stronę z formularzem, przekazującym dane przez POST do innej podstrony, która wyświetla je w tabeli i zapisuje do pliku.
Wszystko działa jak należy, jest tylko jeden problem: użytkownik modyfikując adres URL może modyfikować dane w tabeli (więc te, które będą zapisane). Przewiduję też "sprytnych" użytkowników, próbujących różnych sztuczek. Czy można jakoś zablokować odbieranie danych z URL, by skrypt pobierał tylko dane z POST? Chcę uniemożliwić kombinowanie

Nie rozumiem. Jak masz zrobione wyświetlanie danych z GET'a czy POST'a to użytkownik może wysłać dane jak mu się podoba. Nic na to nie poradzisz. Możesz po prostu filtrować te dane w skrypcie PHP.
Wklej lepiej kawałek kodu i napisz po naszemu o co Ci chodzi.

Może Cię zdziwię, ale użytkownik może też wysłać dane POST.
Pamiętaj: wszystkie dane pochodzące od użytkownika (przeglądarki) są potencjalnie niebezpieczne i wszystkie te dane musisz sprawdzać/filtrować - niezależnie od tego czy to jest GET, POST, ciastko czy cokolwiek innego

Ok, postaram się.


-------------a1.php------------------

<form name="formularz" method="POST" action="a2.php">
<input type="checkbox" name="zmienna" value="1" checked="checked" />
<input type="checkbox" name="zmienna" value="2" checked="checked" />
<input type="submit" value="OK"/>
</form>

Tu dane są przesyłane przez POST do pliku a2.php

-------------a2.php------------------

//I tu jest problem. Bo jak jakiś użytkownik przerobi URL np. na: "a2.php?zmienna=3", to w tabeli i w zapisie $zmienna ma wartość 3. A blokada tej możliwości zniechęciło by wielu "hakieruff" do zabawy skryptem.

Wybrana opcja:
<?php
include $zmienna;
?>

//tu jest zapis zmiennej "zmienna" do pliku

A czy nie masz przypadkiem register_globals włączonych? Dodatkowo masz bezsensowny ten formularz jak chcesz albo wartość jeden lub dwa to użyj radiobuttonów. Sprawdzaj po $_POST['zmienna'] i nigdy nie rób

[PHP] pobierz, plaintext 
include $zmienna;
[PHP] pobierz, plaintext 

to jest proszenie się o guza
już prędzej

[PHP] pobierz, plaintext 
if($_POST['zmienna'] == 1){
include cos;
} elseif($_POST['zmienna'] == 2){
include cos;
}
 
[PHP] pobierz, plaintext 

I dlatego ci napisałem, że nie zależnie czy to post czy get to ty masz te dane sprawdzać.

Pozatym to co napisał lobopol jest ok.

Ja wiem, że formularz bezsensowny. Napisałem go byle jak. Chodziło o samą metodę "POST".

Niestety, nie mogę zrobić tego w sposób: if($_POST['zmienna'] == 1), ponieważ w prawdziwym programie jest zmienna z imieniem i nazwiskiem do zapisania.

Dynamiczna jest czy stała? Jeżeli dynamiczna to sprawdź:
-czy nie jest pusta
-czy nie ma znaków ucieczki ../ ./ / .itp
-czy nie jest jakimś niedozwolonym plikiem
jeżeli spełnia powyższe warunki wtedy sprawdź czy w katalogu znajduje się plik (is_file) $zmienna.php i jego includuj