Fakt ist, dass selbstgestrickte sicherheitssensible Lösungen große Gefahren in sich bergen,

Man kann, ungenügendes Wissen, grobe Fahrlässigkeit oder Böswilligkeit vorausgesetzt, jede beliebige - also auch fremdgestrickte sicherheitssensible Lösungen so einsetzen, dass man „Montags in der Zeitung steht“. Der Beweis dafür steht geradezu regelmäßig bei heise.de auf der Startseite.

Das ist ja auch meine Kritik an der „Kritik“ von 1UP. Der bezieht sich gar nicht wirklich auf mein Zeug, sondern konstruiert höchst mutwillig Umstände - die aber gar nicht nur für mein Zeug gelten.

Nehmen wird das oben: Man kann z.B. mit jeder Auth-Lösung, die auf Dateien basiert, z.B. eine Konkurrenzsituation zu anderen Skripten bauen. Vorliegend kann es - aus nahe liegenden Gründen - z.B. der Erzeugung der ersten Datei mit dem Verwalterpasswort - nicht der Job meines Skriptes sein zu untersuchen, ob womöglich irgend etwas anderes eine zu konfigurierende Datei mit benutzt. Das ist Sache des Verwalters, also desjenigen, der die Konfigurationsdatei zu bearbeiten hat. Zur Kritik von 1UP, dass meine Skripte ja auch mit http funktionieren würden, habe ich anderweitig schon ausgeführt - das ist genau die gleiche Chose, denn das ist Sache der Serverkonfiguration, nicht aber der PHP-Skripte. Will man sich in diesen „gegen alles“ absichern, dann bekommt man Performanceprobleme hoch 3 - und mit Verlaub nehmen auch die hoch gelobten Bibliotheken mit breiter Unterstützung genau diese Prüfung ganz gewiss nicht sämtlich (falls es überhaupt eine im PHP-Teil tut) vor.