Moin!

Gut, das mit der fehlermeldung habe ich gelöst.
Aber stimmt meine Vermutung auch, dass ich somit einen Zugang auf diesen Passwortgeschützten Bereich verhindere, damit keine fremde Person die Daten des Users verwenden kann?
Auf die Seite käme er nur über die Seitenangaben im verlauf des Browsers.

Es gibt zwei Methoden, einen HTTP-Bereich auf dem Server nur einem begrenzten Personenkreis zugänglich zu machen:

1. Username und Passwort wird bei jedem Seitenabruf übermittelt.
2. Username und Passwort wird in eine Session gesteckt.

Methode 1 ist die HTTP-Authentifizierung (auch weltbekannt unter dem sachlich falschen Namen ".htaccess") - nur speichert sich hier der Browser Username und Passwort auch solange, bis er komplett geschlossen wurde.

Methode 2 funktioniert nach der Übermittlung von Username und Passwort zeitlich so lange, wie die Programmierung des Bereichs es erlaubt (was man aber auch bei Methode 1 einbauen könnte, wenn man wollte). Grundsätzlich verfallen Sessions irgendwann - aber den genauen Zeitpunkt kann man ohne Zusatzprogrammierung nicht eingrenzen. Es ist daher nicht empfehlenswert, über das Vorhandensein einer Session oder des Session-Cookies irgendeine Schlußfolgerung über die Gültigkeit des Logins zu ziehen - man muß schon explizit die Zeit des letzten Zugriffs selbst speichern und bei jedem Zugriff separat prüfen, ob dieser Zeitpunkt schon zu lange zurückliegt. Ist das nicht der Fall, ist der Zugriff zu gestatten.

Je kürzer der erlaubte Zeitraum, desto unwahrscheinlicher ist es, dass jemand den Browser mit vergessenem Login "wiederbelebt". Und man kann sich als regulärer Benutzer natürlich auch explizit ausloggen und damit diesen Versuch grundsätzlich verhindern.

- Sven Rautenberg