Hi Harry,

Warum so kompliziert und nicht einfach session_id(); ?

kompliziertes Buch gelesen ;-)

if ($HTTP_POST_VARS["user"] == "joachim" && $HTTP_POST_VARS["pass"] == "11111") $isLoggedIn =  1;
Das hier ist die eigentliche Schwachstelle: Das Passwort steht im Klartext

Aha, das werde ich also auch md5 verschluesseln.

Ergo: Wenn jemand PHP-Scripte unter der ID des Webservers ausführen kann oder als root am Server rumhüpft, dann wird die Sache unangenehm, sonst geht's schon.

Das klingt ja hoffnungsvoll. Vielen Dank fuer die Tipps.

Gruesse  Joachim