Hallo Anna,

Macht meine Idee so Sinn,

Ich würde sagen, ja.

oder gibt es da Lücken die ich noch schließen sollte?

Das Konzept sieht sicher aus. Was natürlich keine Garantie dafür ist, dass die fertigen Scripte sicher sein werden.

(Kann man Sessions kopieren,

Als Server-Admin: ja. Sonst: nein.

Allerdings könnte man die Session-ID erraten, was aber unwarscheinlicher oder zumindest genauso unwarscheinlich sein dürfte, als dass jemand ein Passwort errät. Aber dass diese Möglichkeit besteht, sollte Dir klar sein.

oder darin übergebene Variablen vorspiegeln? Also eine andere BenutzerID zum Beispiel??)

Wenn Du per $_SESSION['variable'] prüfst, nicht.

Wenn Du per $variable prüfst, besteht je nach Script eine Möglichkeit, die Du allerdings auch verhindern kannst. (Vor session_start alle kritischen Variablen durch unset() jagen, damit dies dann mit Sicherheit aus der Session kommen)

Allerdings: Wenn Du Dir Sorgen um die Sicherheit machst, dann sollte register_globals (und somit die zweite Möglichkeit) _vor allem_ auf dem Produktionssystem deaktiviert sein: </archiv/2003/3/40235/#m220566>

Wäre das Ganze per .htaccess sicherer??

Nein. Im Gegenteil, sobald Du einen normalen oder gar einen automatisierten Logout brauchst, stellt Dich HTTP-Authentifizierung (zumindest Basic und Digest, andere kenne ich nicht und die Browser erst recht nicht) vor Probleme, die Du mit Sessions nicht hast. Dafür musst Du Dich bei Sessions um die Authentifizierung kümmern.

Viele Grüße,
Christian