Moin,

Ich würde dem kein Siegel geben, für das man mich hinterher zu Rechenschaft ziehen kann, aber das trotzdem schonmal als sicher bezeichnen ;)

Die Verwendung von Superglobals und dem gezielten Zugreifen auf $_POST bringt natürlich schonmal was und durch das Speichern in $_SESSION ist die Information auf den ersten Blick erstmal sicher, da Dir ja nun niemand mehr (auch nicht per Post, was ja auch, wenn auch ein wenig umständlicher, zu manipulieren ist) etwas anderes für den Wert unterschieben kann.

Niemand? Nunja, das hängt ein wenig von der Konfiguration von PHP ab. Denn bei Standardkonfiguration schreibt PHP die Sessiondaten in ein Verzeichnis, welches für alle Benutzer Lese- und Schreibrechte besitzt (/tmp, /var/tmp etc.). Es empfiehlt sich also grundsätzlich und insbesondere bei sicherheitsrelevanten Applikationen, die Sessiondaten in ein eigenes Verzeichnis schreiben zu lassen (wenn möglich natürlich außerhalb des DOCUMENT_ROOT), um Sessionnaping, böswillig oder versehentlich, zu unterbinden.

Wenn es vom Wartungsaufwand vertretbar ist, kann natürlich auch die Kombination mit HTTP-Authentication (.htaccess) nicht schaden, zumal dort sogar ggf. (ich kann nicht sagen, ob der Apache dafür mit einem bestimmten Modul kompiliert werden muß) die Möglichkeit besteht, die Abfrage der Benutzerdaten nicht statisch über User- und Groupfile zu handhaben, sondern über eine MySQL-Datenbank zu fahren...