[php] Session-Authetifizierung - DB oder Cookie?

[Garvin Hicking]

Salutations!

Ich muß mal wieder wegen meiner Login-Session-Geschichte quälen, die jetzt  
soweit fertig ist.

Ich überprüfe standardmäßig auf jeder Seite, ob eine Session-Variable  
"userauth" true oder false ist. Bei true wird nach einem Timestamp-Check  
der letzten Aktion die Seite ausgegeben, bei False die Login-Seite  
angezeigt.

Jetzt frage ich mich, ob es eine potentielle Sicherheitslücke ist, diese  
"userauth"-Variable in Sessions zu speichern, oder ob es generell  
sinnvoller ist, diese in der Datenbank zu setzen? Wenn ich das richtig  
sehe, werden Sessionvariablen ja möglichst in Cookies geschrieben, aber  
diese sind doch auch irgendwie verschlüsselt dort gesichert, oder?

Gibt es eine Möglichkeit, daß der User von sich aus den Wert von  
"userauth" bei einem Cookie bestimmen kann? Bei einer Datenbank kann er  
das ja auf keinen Fall...?

Oder soll ich generell bei Sessions die Cookies unterbinden und auf  
SessionID-Weitergabe per URI vertrauen?

Ich danke euch mal wieder für jede Hilfe. :-)