Moin!

Es ist ja nicht gerade gut einfach eine SESSION-Variable anzulegen, die den status enthält,d.h., eingeloggt oder eben nicht eingeloogt, oder?

Warum nicht?

Es ist ja zumindest theoretisch möglich, dass man auf dies erraten und somit das System knacken könnte oder?

Man müßte die Session-ID erraten, die vom legitimen User gerade benutzt wird, um überhaupt eine Chance auf Manipulation zu bekommen. Das ist aber extrem unwahrscheinlich. Auf die Daten der Session hat man mit dem Browser direkt keinen Zugriff, die werden alle vom Server verwaltet und gespeichert.

Allerdings würde dein Vorgehen implizieren, dass ein einmal eingeloggter User, dem der Admin die Zugangsrechte ändert oder entzieht, nicht automatisch mit der neuen Rechtesituation konfrontiert wird. Die Prüfung, ob der User erlaubt ist, wird ja vermutlich nur einmal beim Login passieren, nicht ständig.

Sofern das für dich Relevanz hat und du ad hoc einem gelöschten User auch sofort den Zugang entziehen willst, ist eine Variable "eingeloggt" nicht hilfreich. Da wirst du dann Username und ggf. Passwort in den Sessiondaten ablegen und bei jedem Zugriff mit der Usertabelle vergleichen müssen.

Wenn ich falsch lieg ist ja gut, dann muss ich mir darüber keinen Kopf machen, ABER es gibt bestimmt noch sicherheitsrelevante Dinge, die ich bei meinem System beachten sollte...

Es gibt ganz viele Dinge, die man beachten sollte. Etliche sind auch sicherheitsrelevant.

Aber das Thema ist komplex und vielfältig, da kann man ohne Anhaltspunkte kaum umfassend Auskunft zu geben.

- Sven Rautenberg