Weiterhin habe ich den Session-Handler nochmal neu geschrieben, weil ich mit der Implementierung immer wieder Probleme hatte. Der Session Handler schreibt Benutzer-Sessions (wenn möglich) verschlüsselt in die Datenbank, während der PHP-Standard unverschlüsselte Textdateien ins temp-Verzeichnis schreibt. Zudem wird jetzt eine neue SessionID erzeugt, wenn sich der Status ändert. Das heißt, wenn sich ein Benutzer im Backend anmeldet, bekommt er nach erfolgreicher Authentifizierung eine neue SessionID, seine bisherige Session wird ungültig. Meldet er sich wieder ab, passiert dasselbe. Was noch fehlt, ist die Verifizierung anhand von Browserdaten, was es Angreifern erschwert, eine Session über eine bekannte ("erlauschte") SessionID zu kapern. Zudem sollte sich die SessionID auch zwischendurch immer mal wieder ändern. Das sind alles Sicherheitsaspekte, die unser Backend besser schützen sollen.
Leider habe ich derzeit ein größeres Performanceproblem, dessen Ursache ich noch nicht finden konnte.
