Sicherheit von Sessions?

Guten Abend ,

ich habe eine kleine Frage, undzwar wie sicher sind Sessions für einen Login?
Es gibt ja haufenweise Tutorials für Login-Seiten mit PHP & MySQL und da sieht man ja häufig (eigentlich immer) dieses Konstrukt:

PHP-Code:

//Holen des Passworts aus der DB
$sql = ("SELECT * FROM user WHERE username = '$username' AND password = '".md5 ($password) ."'");
//Anschließend $_SESSION['username'] registrieren
[...]

if(issset($_SESSION['username'])) {
   echo "Sie sind eingeloggt";
} 


"Taugen" dieses Art von Login-Scripts etwas? Ich meine theoretisch müsste man doch einfach nur per WebDeveloper-Toolbar in FireFox eine Session mit dem Namen Username erzeugen mit x-beliebigen Inhalt und schon sollte man eingeloggt sein oder sehe ich da etwas falsch?
Generell also, wie steht es mit der Sicherheit solcher Konstrukte wie oben?
Alternativ sollte man anstelle von $_SESSION lieber setcookie() benutzen oder noch irgendwelche alternativ Daten zum Abgleichen benutzen?

Über Antworten wäre ich sehr dankbar.

Liebe Grüße

c0re

$_SESSION['username'] legt keine Session namens "username" an, sondern fügt der Session einen Wert für den Schlüssel "username" hinzu. Die Session-Daten werden auch nicht beim Client sondern auf dem Server gespeichert. Der Client erhält lediglich ein Cookie mit einer Session-ID (die in der Regel so kryptisch ist, dass man diese nur sehr, sehr schwer erraten kann) –*alternativ wird die ID als Parameter an alle Adressen gehängt …*so oder so: Darüber wird die Verbindung zu den gespeicherten Werten hergestellt.

Hallo,

ich glaube, du verwechselst Sessions mit Cookies. Eine Session wird auf dem Server gehalten und lässt sich clientseitig nicht beliebig manipulieren.

Edit: oh, zu spät…

Gruß,

Amica

Vielen Dank für Eure schnellen Antworten
Das Forum ist echt super!
Dickes Lob. Der Thread hat sich somit erledigt! Danke danke danke


Gruß