Hallo,

ich bin dabei ein kleines Projektmanagementsystem in PHP zu entwickeln.
Da dort auch sicherheitsrelevante Dokumente hinterlegt werden suche ich nach der idealen Methode um den Login zu realisieren.

Ich hatte mir eigentlich die Sessions ausgesucht... allerdings scheinen diese auch nicht so sicher zu sein, wie ich es mir vorstelle.

Meine Idee war:

• Login per Sessions

• IDs, PWs, sowie Benutzerrechte gecrypted abgelegt in mySQL DB

• Jede einzelne PHP-Seite prüft, welche Rechte der zugreifende User hat, wenn er darf, dann wird die Seite angezeigt, ansonsten ein Fehler ausgegeben.

• Die wichtigen Dokumente (xls etc.) werden außerhalb des Document Root platziert und sind dann nur noch per Script abrufbar. Dieses prüft wiederum intern, ob man das Recht dazu hat.

Macht meine Idee so Sinn, oder gibt es da Lücken die ich noch schließen sollte? (Kann man Sessions kopieren, oder darin übergebene Variablen vorspiegeln? Also eine andere BenutzerID zum Beispiel??)

Wäre das Ganze per .htaccess sicherer??

Danke für Eure Hilfe,
Anna