A tied olyanoktól nem véd akik nem a te formodon keresztül posztolnak. Márpedig ez a gyakoribb.
Amit én írtam megoldást az annyival jobb, hogy csak a counting.php módosítja a session-t, így annak tartalma változatlan marad és ellenőrizhető szerveroldalon.