Hi Tom,
nur eine Anmerkung (sonst kenne ich das Script ja ;-) habe ich zu machen:

<?PHP
function authenticate()
{
  Header("WWW-authenticate: basic realm="Privater Bereich"");
  Header("HTTP/1.0 401 Unauthorized");

Hier muss auch ein sleep(1);, besser noch (3) rein, denn _dies_ ist die Brute-Force-empfindliche Stelle.

echo "Benutzerdaten erforderlich!";
  exit;
}
[...]

Fabian