Hallo Tom,

Ich lege Session-Tokens in einer DB ab.

... die von PHP erzeugten oder andere?

Die von und die für PHP erzeugten.

Für mein Image-Upload-Skript erzeuge ich selber welche für den Temporärspeicher für die neuen, ungeprüften Bilder. Die bekommen eigene "Sessiondateien". Ich benutze da eigentlich nur den Meschanismus des GC, damit ich später nicht lauter Dateileichen habe.

... und warum verwendest du dann keine Datenbank, die mit den „sicheren“ Tokens klarkommt statt drum herum zu basteln (hört sich für mich danach an)?

Gruß
Julius