L'ho provato non riesco a comporre la frase nella terza stanza, comunque senza registrazione nick con due caratteri e opzionalmente separato da spazio bianco.
Comunque il form necessita di un campo nascosto generato automaticamente così la pagina avventura.php con metodo POST verifica che l'utente sta passando dal form. Il cosiddetto TOKEN CSFR che dovrà abbinare alla sessione php (solitamente via cookie ma se permesso dal suo hosting può anche essere con metodo GET o POST, sto parlando della configurazione del php.ini e similari). riferimento
Codice PHP:
$time_start = time(); // Tempo in secondi rispetto a UTC/GMT e anche con stato globale
session_start(); // Spazio globale
//form html con tre input diverso da nascosto e un input nascosto parametro4
$start = 0;
if(isset($_GET['start']))
$start = (int) $_GET['start'];
if($start != 0)
{
if($start == 2)
if(isset($_POST['parametro1'], $_POST['parametro2'], $_POST['parametro3'], $_POST['parametro4'], $_SESSION['request']))
{
if(($time_start - ($_SESSION['request'])) >= 2 && isset($_SESSION['csfr']) && $_SESSION['csfr'] === $parametro4)
{ //hash va confrontato per uguale e dello stesso tipo, cioè "===" altrimenti l'operatore debole "==" verso il confronto stringa e il codice interno crea lacune di sicurezza.
//Sono dentro la richiesta POST e verifico $_SESSION['csfr'] che dovrebbe essere il vecchio valore della richiesta dove viene visualizzato il form, mentre il nuovo valore o l'unico valore è nella prossime due righe.
}
}
//Diverso da zero e spazio globale
$my_csfr = 'testo'; //univoco per richiesta
$_SESSION['csfr'] = $my_csfr; //da utilizzare e verificare una sola volta, poi va eliminata o sovrascritto o non valutata.
}
$_SESSION['request'] = $time_start; // Tempo in secondi rispetto a UTC/GMT e anche con stato globale
//Altro codice o markup html ma comunque con il campo nascosto e il valore della variabile $my_csfr se $start dovrà essere valore diverso da 0
Giustamente effettua qualche ricerca per token CSFR php per l'algoritmo da sostituire invece della semplice stringa testo, io ti ho solo fornito l'esempio.