Hallo csx,

Das war doch mal was fundiertes zu Thema! Danke! :)

Nichts zu Danken, gerne geschehen ;-)

Klar, das die Datenfiles nicht im DocumentRoot drinliegen. Und klar läuft ein Cronjob, der alle paar Stunden aufräumt, etc. Nur: Es muß doch irgentwelche Angriffspunkte geben. Ich hab schon von vielen gehört, die die Authentifizierung so oder ähnlich machen. Aber das wäre doch zu einfach, oder? Irgentwelche Schwachpunkte hat das System doch mit Sicherheit (und die würd ich ganz gern schon im Vorfeld abstellen).

Ich bin zwar kein Hacker, aber ich denke sie Sicherheit des Systems bestimmst in diesem Falle nur DU! Wenn Du in jedem Skript, das zu deinem geschützen Bereich gehört, die Session-ID prüfst, kann keine Zeile Programmcode ausgeführt werden, ohne gültige Session. Da deine Session-ID eine willkürliche 50stellige Buchstaben-Kollone ist, ist diese auch "Fälschungssicher". Dadurch, das Du alle alten Sessions löschst, eleminierst Du auch die Gefahr, das jemand mit einer alten Session-ID sich einloggt.
Mir fällt nur noch ein, das Du in der Session auch die IP-Adresse abspeichern solltest, und bei jedem Aufruf die aktuelle IP-Adresse mit der gespeicherten IP-Adresse überprüfst. Damit kannst Du auch diejenigen Ausschliesen, die unberechtigt in den Besitz einer gültigen Session-ID gekommen sind (Abhören des Netztwerkprotokolls oder einfach Blick über die Schulter).

greets
myMojito