beh... per la questione del parametro è ovvio che uno potrebbe fare RE sul flash, ma questo è sempre vero (o comunque qualunque sistema può essere cmq attaccato), ma nn è così semplice... potresti usare un sistema a chiave asimmetrica, oppure un algoritmo di generazione basato su parametri variabili (es.: ip e ora attuale) che crei una chiave da riprodurre poi dentro il php e confrontare con quanto passato.