Hallo mixmastertobsi,

Aber wenn ich das Passwort weiter in der DB lassen möchte, macht es doch Sinn, wenigstens in Session nicht das Passwort in Klartext stehen zu haben, weil wenn ich Klartext mit Klartext vergleichen würde, geht es zwar schneller, aber ich hätte zwei Schwachstellen - oder?

Pack das Passwort gar nicht in die Session. Gar nicht. Du brauchst es nicht.

PHP-Sessions sind serverseitig, wenn jemand dir eine Session unterschiebt, dann ist der Server kompromittiert und er könnte genau so gut direkt an deine Datenbank. Wenn jemand eine Session klaut (Sessios Hijacking, google ruhig mal danach), dann hilft dir das Passwort in der Session auch nichts, weil er ja die Session geklaut hat.

Der Sicherheitsgewinn ist also gleich null. Pack die User-ID in die Session und das wars.

Und hashe die Passwörter in der Datenbank, for fucks sake. Dass man das im Jahre 2016 immer noch sagen muss ist traurig.

LG,
CK