Ahoi friction,

1. Kann man sagen das ne $_SESSION eher zu knacken ist als .htaccess ?

da würd ich sagen es kommt auf den hacker an.

2. kann es sein das user die ihre Cookies deaktiviert haben probleme mit $_SESSION's haben oder diese dann nicht benutztn können, normalerweise haben Cookies doch nichts mit $_SESSION's zu tun , oder ?

ja das kann sein, läßt sich aber umgehen. Das problem hierbei ist das
die Session-ID je nach server-einstellung in ein cookie gespeichert
werden soll. sind Cookies aber deaktiviert wird bei jedem
session_start() eine neue ID erzeugt und es geht nicht vorann. dies
lässt sich aber umgehen wenn due die ID per GET übergibst. da taucht
dann aber eine sicherheitslücke auf. bist du eingelogt gibt es ja eine
session-ID welche als eingeloggt gilt. dies solltest du natürlich auf
jeder seite überprüfen. Wenn nun Mr.X reinzufällig eine solche
session-ID erwischt welche als eingeloggt gilt ist er drin. was auch
über ein gefaktes Cookie möglich wäre.

Eine PHP-Lösung ist für den User optisch sicherlich angenehmer, in
meinen augen ist eine .htaccess lösung allerdings sicherer. große
probleme können dabei auftauchen wenn man sicherheitslücken im PHP
code hat. sicherer kann man alles machen. So wie ich dich aber
verstanden habe gehts hier nur um einen Adminbereich daher würd ich zu
htaccess raten. ist zwar nicht so schön aber IMHO sicherer.

MfG