Hallo!

Wenn ein User sich angemeldet hat, dann kennst du seine User-ID in der Session. Schreib seine Gruppen auch noch hinein, das vereinfach dir die Prüfung der Zugriffsrechte.

Dazu hätte ich noch eine Frage. Inwiefern vereinfacht mir das die Prüfung?
Die Session könnte doch immer potentiell manipuliert sein (Client->Server) also bleibt mir doch nichts übrig als "nur" zu prüfen ob Benutzer-ID und Session-ID bereits bekannt sind (sprich in der DB gespeichert).
Muss ich alles andere nicht sowieso abfragen?

Uwe