Registierungspflichtiger Bereich einer Webseite: Korrekt?

Hallo,

ich habe mal die Punkte aufgeschrieben, die man als Programmierer bei
einer Seite mit registrierungspflichtigem Bereich so beachten sollte. Ist
das so alles korrekt oder habe ich da was wichtiges vergessen? Mache
was falsch oder auf unübliche Art und Weise?


a. Nutzerregistrierung

1. Anmeldeformular mit Feldern Benutzername, Passwort und Emailadresse
2. Passwort verschlüsselt (z.B. md5) in der Datenbank speichern
3. Einmaliger Aktivierungscode generieren (z.B. uniqid)
4. Aktivierungsemail an die hinterlegte Emailadresse senden
5. Nach Klick auf Aktivierungslink wird Login möglich

b. Login

1. Loginformular mit Feldern Benutzername, Passwort und Checkbox "eingeloggt bleiben"
2. Zum Benutzernamen gehörende Daten abrufen
3. Passwort aus Formular verschlüsseln und mit String in Tabelle vergleichen
4. Benutzername und verschlüsseltes Passwort in Session-Variabeln "user_$seitenname" und "pass_$seitenname" abspeichern
5. Wenn Checkbox angehakt Benutzername und verschlüsseltes Passwort in Cookie "user_$seitenname" und "pass_$seitenname" abspeichern

c. Überprüfung der Nutzerdaten

1. Überprüfung ob "user_$seitenname" und "pass_$seitenname" in Session oder Cookie vorhanden ist
2. Vergleich des Passworts-Strings mit dem für den Benutzername in der Datenbank hinterlegten Passwort-String
3. Bei Fehler: Cookie und Session-Daten löschen
4. Bei Erfolg: Notwendige Nutzerdaten für Scriptausführung zwischenspeichern (z.B. Nutzer-ID)

d. Passwort vergessen

1. Formular für Benutzername und Emailadresse
2. Überprüfung ob Benutzername und Emailadresse zusammengehören
3. Einmaliger Passwort-Rücksetz-Code generieren (z.B. uniqid)
4. Passwort-Rücksetz-email an die hinterlegte Emailadresse senden
5. Nach Klick auf den Link kann ein neues Passwort gesetzt werden
6. Passwort verschlüsselt (z.B. md5) in der Datenbank speichern
7. Loginformular

e. Passwort ändern

1. Formular für altes Passwort und neues Passwort
2. Überprüfen ob altes Passwort korrekt
3. Neues Passwort verschlüsselt (z.B. md5) in der Datenbank speichern
4. Nutzer ausloggen
5. Loginformular

anmerkung zu d) 1. :
ich würde nicht unbedingt auch die uid abfragen. in den zig foren, in denen ich im laufe der jahre registriert war, weiß ich auch oft meine uid nicht mehr. da ist es ganz praktisch, wenn ich nur die email adresse angeben muss. sonst muß ich einen neuen user anlegen mit anderer adresse.

Da hast du Recht. Der Benutzername sollte hier dann wohl optional sein oder gar nicht abgefragt werden.

Da fällt mir ein:
Bei a) und d) muss ich jeweils noch überprüfen wann zuletzt eine solche Email an diese Adresse verschickt wurde. Das sollte möglichst nur ein mal am Tag geschehen oder so.