hallo,

ich hab mir damals zum test auch ein login-script gebastelt.
dabei habe ich 4 verschiedene sicherheitsabfragen bei jedem aufruf eingebaut.

aber vorher wird alles per ssl übertragen.

1. jeder user bekommt eine id, die per get oder post immer mitübertragen wird

2. hat "jeder" eine ip

3. es steht in der datenbank das wort login oder logoff

4. es ist ein zeitstempel in der datenbank

jedes script / seite nach dem login im geschützten bereich prüft immer die ip und die id ob die mit der datenbank übereinstimmt, es wird geprüft, ob in der datenbank login oder logoff steht (was beim login bzw logoff immer geändert wird) und der zeitstempel in der datenbank ist die loginzeit + x sekunden, und der zeitstmpel in der datenbank muss größer als die aktuelle zeit sein.

ich denke das es nie "sicherheit" gibt, aber ich sehe an dem vorgehen hier momentan keine großen fehler, oder seht ihr das anders?

grüße cr