GOTT SEI DANK bin ich hier offensichtlich nicht der einzige, der enormen Respekt vor der Thematik zu haben scheint (deswegen eben auch dieses Posting) XD

So, wie ich die Diskussion darüber aufgenommen habe, wurde sie depubliziert, weil es uns zu heikel wurde, dafür die Verantwortung zu tragen.

Ich bin prinzipiell kein Mensch, der mit Pauschalverurteilungen um sich schmeißt, sondern der sich mittels konkreter Problemanalyse ein Urteil fällt. Ich erkläre auch gerne ausdrücklich, dass ich hier verbreitete Ratschläge als das interpretiere, was sie eben auch sind - unverbindliche Meinungen unter Auschluss jeglicher Haftungsansprüche - wäre ja noch schöner, wenn hier jemand dafür, dass er anderen unentgeltliche Hilfeleistungen anbietet, vielleicht auch noch angepöbelt wird oder gar Probleme bekommt (zumal für diesbezügliches entsprechendes Know How gut und gerne leicht zehntausende an Euros draufgehen) - ich wage zu behaupten, da nicht naiv zu sein 😉

HTTPS, HTTPS erzwingen, POST erzwingen, Session-ID nicht in der URL übermitteln, User- oder fremdgenerierte Inhalte machen im Zusammenhang mit JS und CSS womöglich weitere Probleme, verschlüsselte Kommunikation zwischen PHP und Datenbankserver, … (endlose Liste)

Danke dafür!

Was meinst du genau mit POST erzwingen?

...Kommunikation zwischen PHP und Datenbankserver denke (hoffe) ich, dass sie von meinem Hosting Provider professionell gemanaget wird, hatte da außer serverseitiger Verbindung (mysqli_connect()) mit der Datenbank und SQL Anweisungen an selbige nicht viel vor... ...lasse mich GERNE eines Besseren belehren!

P.S.: Das ganze System kommt in keinem allzu sensiblen Bereich zum Einsatz - ich bin mir derzeit noch nicht mal im Klaren darüber, ob ich überhaupt ein Passwort benötige oder Usernamen in Verbindung mit einer einfach zuordenbaren ID nicht komplett ausreichen. Anders ausgedrückt: keine Sorge, mein Projekt wird in nächster Zeit keine Flugzeuge vom Himmel stürzen lassen.