Hallo

Server-Authentifizierung und Sessions haben erstmal unterschiedliche primäre Anwendungszwecke. Sie lassen sich aber zum jeweils anderen Zweck benutzen.

Server-Authentifizierung:
Ein Client (Robot, anderer Server, aber auch ein Benutzer an seinem Browser) muss sich für den Zugriff auf bestimmte Verzeichnisse/Dateien dem Webserver gegenüber als berechtigt ausweisen. Schlägt dies fehl, wird dem Clienten mitgeteilt, dass er auf den entsprechenden Bereich keinen Zugriff bekommt (Statuscode 403), gelingt die Authentifizierung erlangt der Client Zugriff auf den Bereich. Alle unter die Authentifizierung fallenden Dateien/Ressourcen erfordern beim Zugriff die Legitimation gegenüber dem Server.
Bei jeder weiteren Anfrage an den Server wird der Benutzername mitgeschickt, sodass der Client/Benutzer weiterhin identifizierbar bleibt.

Session:
Der Zweck der Session ist es primär, einen Clienten/Benutzer während der Laufzeit der Session zu identifizieren, also bei jedem Zugriff wiederzuerkennen. Man kann dies natürlich auch mit einem Login verbinden, so dass ein Benutzer z.B. gegenüber einer Liste von berechtigten Benutzern in einer Datenbank abgeglichen werden kann.

Beide Techniken ermöglichen das von dir gewollte. Bei der Session musst du aber selbst dafür sorgen, dass ein unberechtigter Zugriff abgewiesen wird. Die in dem entsprechenden Bereich liegenden Seiten/Dateien liegen quasi öffentlich auf dem Server, nur dein Login, bzw. die Folgefunktionen, stellt, wenn es wie gesollt funktioniert, sicher, dass nicht berechtigte Zugriffe abgewiesen werden. Bei der Server-Authentifizierung erledigt das der Server selbst.

für einen passwortgeschützen bereich einer homepage...ich habe beides bereits erfolgreich probiert, jedoch stellt sich mir die frage was sicherer ist im bezug auf das hacken.

Absolut sicher ist nichts. Der Server kann gehackt werden und so Zugriff sowohl auf eine Datenbank als auch auf irgendwelche Dateien (auch die mit den Passwörtern) erlangt werden. Allerdings halte *ich* eine serverseitige Authentifizierung, mit einer außerhalb des per HTTP erreichbaren Bereichs gelagerten Passwortdatei, für sicherer.

Es werden nicht viele Benutzer sein, somit ist das Problem bezüglich der htaccess und der etwas umständlicheren textdatenbank i.o.

Wie an anderer Stelle erwähnt, muss es keine Textdatenbank (typischerweise: .htpass) sein. Die benutzername-Passwort-Kombination kann z.B. auch in einer Datenbank gespeichert werden. Der Server muss dann aber auch wissen, dass er dort suchen muss.

Tschö, Auge