Hallo Philipp

Wichtige Frage: Wie wird in den folgenden Prozessen die
Authentizität des Users festgestellt? - Beschreibe mal genau, was
nach dem Login passiert und wie ein Folgeaufruf einer geschützten
Seite die Korrektheit des Logins überprüft wird. Wie meinst du das
genau mit den "unsinnigen Werten", wie verwendest du diese bzw.
was noch wichtiger ist: benutzt du diese um die Authentizität des
Besuchers festzustellen?

Überprüfung, ob user sich eingelogt hat:
    if (!$_POST['login'] || $_POST['login'] != "yes")
true -> weiterleitung zum Login
false -> eingeloggt

Weitergabe des Logzustands mithilfe eines Formulars und eines versteckten Feldes
    <form name="form" method="POST">
    <input type="hidden" name="login" value="yes">
    </form>

Mit "unsinnigen Werten" meine ich, daß ich natürlich nicht "login" und "yes" verwendet habe, sondern stattdessen "quark1" und "segrjhdgasf". Die mit POST gesendeten Werte können natürlich ganz einfach manipuliert werden, wenn man aber nicht weiß, was man setzen muß funktioniert das auch nicht.

Weil du so fragst: Wenn dies unsicher ist, kennst du eine sicherere Variante?

thomas