Hi Christian,

Gib die Passwort-Daten nicht auf den User-Rechner, auch nicht gehasht.

Wenn ich aber nur die UserID speichere, wie soll ich den User dann richtig verifizieren? Die UserID wäre doch leicht zu erraten.

Wie wäre folgendes Konstrukt?

Passwort in der Datenbank mit password_hash() speichern. Beim setzen des Cookies das gehashte Passwort mit md5 nochmal verunstalten und diesen Hash im Cookie speichern?

Nutze HTTPS (z.B. mit Let's Encrypt) und enforce das auch. Damit solltest du auf der sicheren Seite sein.

Ja, wird langsam Zeit für https, hab ich noch nie ausprobiert.

Bis bald