Hallo

Will der Benutzer sich später anmelden (mit Login-Formular), werden die Eingabedaten in md5 verschlüsselt ...

md5 erstellt nur checksummen...somit kann jeder md5 wieder in deine ursprünglichen daten wandeln, probier mal lieber crypt(); ...

... welches, mit einer anderen Verschlüsselungsmethode genau das Gleiche macht.

... denn damit ist auch aus der datenbank das passwort (z.b. bei blowfish verschlüsselung) nicht auslesbar und "sicherer" abgelegt

Aha.

sessions nutze ich auch nicht. ich nutze diverse angaben (Browserid, ip,...) die mir übermittelt werden und schreibe zusätzlich mehrere cookies (wiederrum mit crypt verschlüsselt) um den benutzer eindeutig zuzuordnen.

Die Browser-ID kommt vom Benutzer und kann gefälscht sein, bei mehreren Browsern übereinstimmen ...

Die IP kann bei Verwendung eines Proxys andauern wechseln. Das ist z.B. bei AOL Standard.

Tschö, Auge