hi Aqua,
also ich habe das folgendermaßen gelöst:
user loggt sich ein, daten werden mit db-daten verglichen und in einer session die wichtigsten daten hinterlegt (ip,name, anschrift,..was weiß ich).
anschließend brauch ich nie wieder passwort und username zu überprüfen, da ichja die eindeutige session-id hab (einmal überprüft, einmal erzeugt). würd ich jedesmal passwort und username bei jedem klick übermitteln, könnten die auch leute in proxys lesen..wennd ie GET-Methode genutzt wird..also sehr unsicher.

stat dession ist die session-id der schlüssel, der dem user alles öffnet.
aaaber...auch den schlüessel kann man mopsen ;-) ... also noch sicherheitshalber die ip-adresse mit dem schluessel gegenchecken. die ip-adresse speicher ich ja zu der entsprechenden session (sessions handelt php selbst...die werden soweit ich weiß in temp-files gespeichert).
stimmt sessionid mit der IP, dann ist der user korrekt..andernfalls ..
ERROR ;-)

falls ich nen denkfehler hab..sagt es mir ;-)
Ciao the-FoX

www.breez.de