Hallo!

Ich habe eine Frage bezüglich eines Loginsystems: Ich habe mir (zu Lernzwecken) ein Loginsystem geschrieben. Ich wollte von euch nun wissen, ob es sicher ist, oder nicht. Alle Daten werden maskiert. Also das ganze läuft so ab:

Der User gibt seinen Namen und das Passwort ein. Das Formular leitet diese Informationen an eine andere PHP-Datei weiter. Diese Datei wandelt das Passwort in einen MD5-Hash um und fragt den Hash in einer Datenbank ab. Wenn das Passwort stimmt, dann wird in einer Session der Username und die IP-Adresse gespeichert. Dann wird per header auf die nächste PHP-Datei weitergeleitet. Dort wird dann wieder überprüft, ob die IP-Adresse in der Session, mit der aktuellen IP-Adresse übereinstimmt. Das soll verhindern, dass die Session, die in einem Cookie gespeichert wird, weitergegeben und dann benützt werden kann. Wenn alles ok ist, dann wird die Seite angezeigt. Wenn nicht, dann wird abgebrochen.

Meine Frage: Ist dieses Vorgehen sicher, oder gibt es einen Grund zum Meckern? :) Mir geht es jetzt vorallem um das Prinzip. Weniger um den Code an sich.

Danke schön!

ciao, ww