Moin
PS: ich würde ein Passwort nicht im Klartext in die Session schreiben, weil das im Shared-Hosting normalerweise jeder andere Kunde auslesen kann.
Ich würde ein Passwort überhaupt nicht in eine Variable die übergeben wird schreiben, sondern, ich würde nach der Überprüfung von Passwort und Username eine USER ID reinschreiben, die ich dann lediglich auf Ihre Gültigkeit hin auswerte.
TomIRL