Hallo!

Was haltet ihr nun vor der Möglichkeit stattdessen, in einer existierenden Usertabelle noch zusätzlich die Felder 'lastLogin' und 'code' hinzuzufügen, wobei bei erfolgreicher anmeldung, in $_SESSION['code'] und das TabellenFeld mittels uniqid ein code reingeschrieben wird. Wenn diese dann nicht zusammenstimmen, muss man sich eben neu authentifizieren.

und was an diesem prozedere soll die sicherheit gegenüber der anderen methode erhöhen?

bedenke, dass in den meisten Fällen die Session-Daten auch von anderen Usern/Vhosts auslesbar/veränderbar sind. Das ist bei einer Datenbank meist etwas schwieriger - zumindest wenn man die Zugangsdaten nicht auslesen kann. Allerdings ist das Risiko vergleichsweise klein.

In lastlogin kommen eben die zeit des letzten Aufrufs und diese wiederum mehr als eine Stunde, etc. zurückliegt, fliegt der User ebenfalls raus.

kannst du genauso gut machen, in dem du den timestamp in der session ablegst. und per default läuft die gültigkeit einer session sowieso nach 24 minuten nichtbenutzung ab.

Ja, normalerweise reicht das aus, so wird das ja meistens gemacht. Aber wie gesagt, Session-Daten sind zwar nicht von außen veränderbar, aber durch andere Kunden oder auch andere Scripte mit entsprechenden Sicherheitslücken.

du scheinst zu glauben, die sicherheit erhöhen zu können, in dem du möglichst viele techniken (seesions von PHP, datenbank, ...) einsetzt - ist aber quatsch. da könntest du genauso gut den server grün anstreichen, erhöht die sicherheit auch nicht weiter.

Das sehe ich nicht so. Es hängt vor allem von der Server-Konfiguration ab wie sinnvoll derartige Maßnahmen sind. Aber "Quatsch" ist das sicher nicht! Dafür kostet es zusätzliche Datenbankabfragen.

Grüße
Andreas