Hallo und guten Tag,

OK, also verstanden.

Aber wenn ich das Passwort weiter in der DB lassen möchte, macht es doch Sinn, wenigstens in Session nicht das Passwort in Klartext stehen zu haben, weil wenn ich Klartext mit Klartext vergleichen würde, geht es zwar schneller, aber ich hätte zwei Schwachstellen - oder?

Jein gequält klingend

Die schlimmere Schwachstelle ist die Datenbank. Dort könnte ja im Schadensfall nicht ein einziges Passwort, sondern 500 Millionen (-> Yahoo) abgegriffen werden.

Um von der Paranoia zu einer soliden Lösung zurückzufinden, mach Dir einfach mal Gedanken darüber, wer auf dem Host (also nicht nur dem http-Server) an Dateien herankommen könnte und wie. In Shared-Hosting-Umgebungen hat(te) man häufig alle Sessiondateien in einem einzigen Verzeichnis liegen (vorzugsweise /tmp oder einem Unterverzeichnis davon), in dem jeder Hosting-Teilnehmer mit seinen Skripten lesen konnte. Da konnte man dann leicht Sessions entführen. Hoster, die das auch heute noch so machen, sollten geächtet werden :-O

Grüße
TS