Wie sieht ein sicheres Loginsystem aus? Session, Cookies oder MySQL (Oder alles zusammen)?

Es muss so beschaffen sein, dass die Auslieferung autorisierter Inhalte (Dokumente, Anwendungen) nicht umgangen werden kann. Dazu muss es möglich seine, die Autorisierung überhaupt prüfen zu können, welche eine Policy regelt, gewöhnlich über die Benutzergruppe oder den Benutzer.

Idealerweise machen an Inhalte gebundene URLs keine Aussage darüber, dass überhaupt eine Policy greift, beispielsweise wird über /index.html für Benutzergruppe public ein völlig anderer Inhalt ausgegeben als für Benutzergruppe private.

Manipulationen am URL, Parameter, Pfad betreffend, dürfen keine Umgehung der Policy ermöglichen.

Manipulierbar ist jedoch IMMER die Session-ID, ein Angreifer kann diese ID ändern, egal ob die im Request-Header (Cookie) oder im URI (Parameter) übertragen wird.

Baue die Funktion, die für eine weltweit eindeutige Session-ID sorgt, nicht selbst. Use SSL.