Bö, wenn's mir keiner erklären will, sollte ich vielleicht immer das Passwort und den Username wieder von neu anhängen. Das ist vielleicht garnicht so 'ne schlechte Idee.
Ich hätte 'ne Session-ID eben einfach bevorzugt, weil diese irgendwann abläuft und für Hacker unzugänglicher ist. Außerdem wird das Passwort und der Benutzername dann ja auch in der History abgelegt, was aber wahrscheinlich eh nicht zu vermeiden ist, da ein einmaliger login ja von Nöten ist.
Ich lasse das Passwort zwar nicht vom Server, sondern vom client mit JavaScript md5 verschlüsseln, aber trotzdem bleibt das Passwort so leicht hackbar...