hi,

ich mache das so:
User gibt seine Credentials (Benutzername, Passwort) ein und authentifiziert sich. Wenn Ok, wird eine Session aufgebaut. Dazu wird serverseitig ein eindeutiger (1) Key generiert, der einmal auf dem Server gespeichert und zum Anderen in einem Cookie an den Client geschickt wird.

Hi,

dann hast du wahrscheinlich bei jedem deiner Scripte am Anfang eine Abfrage ob der Key im Cookie (via POST übertragen schätze ich) irgendwo in deiner DB verknüpft mit einer UID i.O. ist?!
Ich überleg mir ob ich "nur" die uid und das mit crypt verschlüsselte passwort in das cookie speichern soll. Ich weiss, dass man mit dem salt und dem tool crack es je nach schwierigkeitsgrad leicht rel. leicht entschlüsseln kann, aber so brauch ich keinen session-key in der DB.

Danke für die Tipps.

ciao,
nick