Lieber mixmastertobsi,

aber Klartext speicher ich ja nur in der DB.

sehr schlecht!

kann ich ihm das Kennwort erneut zusenden, ohne dass ein neues erstellt werden muss.

Sehr schlecht!

Wenn das Kennwort in der Session gespeichert wird, kann es nicht per hack ausgelesen werden?

Wenn Du Dir dabei unsicher bist (siehe Dein Fragezeichen), dann solltest Du das unbedingt(!!) unterlassen!

Bei Cookie könnte es ja auch ausgelesen werden...

Deshalb lässt Du Deine Finger vom Cookie! Wenn Du hier kompetenten Rat haben willst, solltest Du auch beherzigen, was man Dir rät (wie z.B. PHPs eigenen Session-Mechanismus zu verwenden, denn die sind mit ihren Erfahrungen schon sehr viel weiter als Du!).

So. Und warum kein PW im Klartext in der DB? Weil in Systeme immer wieder einmal eingebrochen wird. Dabei gehen dann sensible Daten mit. Besonders schlimm, wenn die Passwörter dann auch zu allem Unsinn noch im Klartext stehen...

Bei der Sachkenntnis, die sich aus Deinen Beschreibungen und Fragen vermuten lässt, darfst Du Dir nicht sicher sein, dass Du in Deiner Software nicht noch andere Schwachstellen wie XSS- oder SQL-Injection-Schwächen hast! Gerade deshalb sind Klartext-Daten wie Passwörter oder Kreditkartennummern in der DB eine sehr gefährliche Sache!

Liebe Grüße,

Felix Riesterer.