hallo,

ich stand mal vor der gleichen frage und habe es, richtig oder falsch?, wie folgt vorerst gelöst

Die ganze Seite soll mit SSL-Verschlüsselung laufen.
Will der Benutzer sich später anmelden (mit Login-Formular), werden die Eingabedaten in md5 verschlüsselt ...

md5 erstellt nur checksummen...somit kann jeder md5 wieder in deine ursprünglichen daten wandeln, probier mal lieber crypt(); denn damit ist auch aus der datenbank das passwort (z.b. bei blowfish verschlüsselung) nicht auslesbar und "sicherer" abgelegt

sessions nutze ich auch nicht. ich nutze diverse angaben (Browserid, ip,...) die mir übermittelt werden und schreibe zusätzlich mehrere cookies (wiederrum mit crypt verschlüsselt) um den benutzer eindeutig zuzuordnen.

bedenke bei der variante auch, dass sich nicht alle benutzer ausloggen und du da wiederrum eine sicherheitslücke hast. da wäre ein autologout (z.b. mit timestamp und einem zeitvergleich) hilfreich.

viel erfolg

cr