Moin!

Ich würde gerne mal wissen was die sichersten Methode(n) sind für ein Login.

HTTP-Auth mit SSL schlage ich vor.

Wo die Passwörter und Namen ablagern? (Dateien, Datenbanken oder ...)

Das ergibt sich schon fast daraus, allerdings kannst du dem Apachen auch sagen, dass er statt einer .htuser irgendeine Datenbank nehmen soll. Generell gilt allerdings: Keine Account-Daten innerhalb der Document-Root ablegen.

Mir fällt gerade nur ein so mach ich es immer:
Passwort abfrage per PHP name udn pw in einer datei ausgelagert wie zum bsp. pws.inc.php oder so, Cookie wird gesetzt und anschließend wird man weitergeleitet zu den Seiten. Auf den Seiten wird geprüft ob cookie vorhanden if ja alles anzeigen if nein zurück zur loginseiten + variable die per get ausgelesen wird und dadurch wird ne Fehlermeldung angezeigt.

Diese Lösung hat einige Nachteile: Cookies lassen sich manipulieren und nicht immer werden Kekse akzeptiert. Ich musste z.B. den Admin-Bereich eines Blogs von Cookies auf HTTP-Auth umstellen, weil der Benutzer von Internetcafes aus geblogt hat.

Viele Grüße,
Robert