Hi Hans Wurst.

Es geht um einen geschützen Bereich eines eShops, in diesem können die Kunden ihre Bestellungen + Lieferdetails (sensible Daten) einsehen.

Nur eingeloggte Kunden dürfen diese Seiten einsehen, d.h. ein direktaufruf der Seite in der Adressleiste soll den Kunden sofort zu der Loginseite umleiten.

"Ein Direktaufruf der Seite in der Adressleiste" - ich ahne, was das bedeuten soll - ist als Kriterium uninterssant. Wenn etwa ueber ein PHP-Session-System der Login verwaltet wird, kann man auch als eingeloggter User "einen Direktaufruf der Seite in der Adressleiste" machen. Und wirklich unterscheiden kannst Du es ohnehin nicht (der HTTP-Referrer spielt hoffentlich bei Deinen Login-Geschichten keine Rolle).

Wie soll ich hier am besten vorhen?

Es sind hier voellig verschiedene Fragen, die im Raum stehen.

Erste Frage: Wie und wodurch willst Du einen eingeloggten User identifizieren?
*Dann erst* die zweite, von Dir schon beantwortete, Frage: Was willst Du tun, wenn ein nicht eingeloggter User die Seite aufruft?

Mein Ansatz war mit SessionID zu arbeiten, aber irgendwie scheint mir das nicht sicher genug zu sein.

Schein ist bei Sicherheitsfragen immer schlecht. Warum ist es Dir nicht sicher genug? Ist Dir eine Session-ID nicht lang genug oder hast Du konzeptionelle Bedenken? PHP-Sessions sind ein probates Mittel, um User ueber mehrere Requests hinweg zu identifizieren.

Es ist wirklich wichtig das dieser Bereich gut geschützt ist, für jede Anregung/Vorschlag wäre ich dankbar.

Da waere es mal interessant zu wissen, wie Dein Login-System aussieht. Kannste mal Code posten?

Gruss

zurueck,
der Bademeister