Hallo Michael,

vorweg sei gesagt, dass ich nicht der "Sicherheits-Fachmann" bin. Ich würde aber trotzdem gerne einige Anmerkungen loswerden. ;-)

ich bin gerade dabei ein auf besondere Ansprüche zugeschnittenes CMS für meinen Verein basierend auf PHP / MySQL zu schreiben. Für die Authentifizierung im Admin-Bereich setze ich dieses Script hier ein:

http://aktuell.de.selfhtml.org/artikel/php/loginsystem/

Meine Frage: Ist dieses System zu knacken, also sollte man noch ergänzende Meachnismen einbauen?

Sie u.a.: Google: php session hijacking

Meine Idee wäre nach erfolgreichem Login eine zufällig generierte Zahlenfolge in die Datenbank und die Session zu schreiben und deren Übereinstimmung bei jedem Seitenaufruf in der auth.php überprüft wird.

Ist das übertrieben oder eine sinnvolle Ergänzung?

Hmm ..., und was ist dabei dann der Unterschied zu der sowieso schon vorhandenen Session-ID?

Oder gibt es andere Angriffspunkte, wo man nachbessern sollte?

Kannst du https verwenden?
Zusätzlich könntest du die HTTP-Authentifizierung nutzen (den im Artikel genannten Nachteil kann ich nicht so ganz nachvollziehen, schließlich nutze ich bspw. das Forum hier schon jahrelang auf diese Art & Weise).

Gruß Gunther