Hallo,

ich mache mir gerade Gedanken um bestmögliche Sicherheit bei der Arbeit mit Sessions beim Login. Nun Interessieren mich andere Meinungen dazu...

Ausgangssituation:
Das Passwort wird als MD5-Hash in der Datenbank gespeichert.
Login erfolgt wie gewohnt durch Eingabe von Benutzername / Passwort
Bei der ersten Prüfung werden Session-Variablen angelegt, auch Benutzername und md5(Passwort).
Bei jedem weiteren Aufruf einer Seite wird nun erneut Benutzername und Passwort überprüft.

Frage:
Ist der letzte Schritt unnötig? Ist die Arbeit mit Sessions ausreichend sicher, dass es genügen würde, nach der ersten Prüfung ein $_SESSION['Login'] = TRUE/FALSE zu speichern und dies dann bei jedem weiteren Aufruf zu überprüfen? Sollte man dann dabei zur optimalen Sicherheit noch etwas beachten?

Vielen Dank,
Sebastian