Tach!

[...] an das Tutorial kannst du dich immer noch halten.
Gilt das auch für dieses tutorial?
http://tut.php-quake.net/de/login.html

Ich habe es nur überflogen und mir nicht jedes Detail angesehen. Es ist sehr umfangreich, vor allem auch deshalb, weil es nicht einfach eine Schönwetter-Geradeausdurch-Version eines Login zeigt, sondern sehr um Fehlerbehandlung bemüht ist. Diesen Aspekt vernachlässigen leider viele Tutorials der Einfachheit zuliebe. Allerdings ist es vom Sicherheitsstandpunkt nicht wesentlich besser als eine HTTP-Authentication oder ein Session-ID-Cookie. Bei HTTP-Authentication wird vom Browser bei jedem Request Nutzername und Passwort oftmals unverschlüsselt übertragen. Im Tutorial wird das Passwort im Klartext nur einmal beim Formularausfüllen übertragen. Anschließend wird die User-ID und ein Passwort-Hash in einem Cookie abgelegt, und der wird bei jedem Request mitgesendet. Der Hash bringt gegenüber der Serveranwendung keinen Sicherheitsgewinn, denn wenn ich User-ID und Passwort-Hash kenne, kann ich auch ohne Kenntnis des Klartextes einen Request erzeugen, den der Server als angemeldeten User erkennt. Mit weniger Aufwand und gleicher Sicherheit kann man auch die Variante nehmen, bei der der Client nur eine Session-ID mitbringen muss. In den Session-Daten steht dann, ob der User angemeldet ist oder nicht beziehungsweise seine zur Anmeldung notwendigen Daten, wenn bei jedem Request die Authentisierung gegen das DBMS erneut geprüft werden soll.

dedlfix.