Hi!

Nein, die Session kann man auch problemlos noch starten, nachdem Benutzername und Passwort für gültig erklärt wurden. Meiner Meinung nach sollte man das sogar, denn erstens bedeutet dann schon die Existenz einer Session in jedem Fall einen angemeldeten Benutzer, während bei der Methode Session-schon-vor-Login die Session auch für Leute existieren würde, die sich noch überhaupt nicht identifiziert haben.

Aber darauf kann und sollte man sich nicht verlassen. Eine Session existiert auch (bzw. wird erzeugt) wenn ich dem Server eine unbekannte Session-ID schicke. Auch kann man sich eine gültige Session evtl. in einem anderen Script, oder je nach Konfiguration auf einem anderen virtuellen Host holen! Das Vorhandensein einer Session(-ID) sagt erstmal überhaupt nichts aus. Die Information ob der User eingeloggt ist würde ich daher immer in der Session speichern, da der User hier garantiert keinen Einfluss drauf hat. Und genau so den Timestamp des letzten Requests, um die Session nach X Minuten zu leeren, und ein neues Login zu fordern. Wenn man jetzt noch grundsätzlich nur die md5-Summen der Passwörter speichert und SSL-Verschlüsselung verwendet, würde ich mir keine Sorgen machen.

Grüße
Andreas