ich will es ohne Cookies machen, und mich auf HTML (pur) beschränken, alles andere (datenbankabfrgaen & co) macht PHP3 oder n CGI script... also serverseitig
ich dachte eher das eine ID vergeben wird die sich an die URL dranhängt zb www.XYZ.de/bestellen.php3?IDNUMMER

Au ja, und ich darf dann im Location-Feld meine URL editieren und - wenn ich gut rate - in fremden Warenkörben kramen. Oder? Irgendwie kommt mir der Cookie seriöser vor - und die IP-Adresse natürlich erst recht.

Bei letzterer muß man allerdings erkennen, wann eine "Sitzung" vorbei ist - nicht daß der nächste Kunde durch die geppolten IP-Adressen seines ISP irgendwelche Leichen seines Vorgöngers erben kann ... Sicherheit ist gar nicht so trivial ...

Das Editieren von URL's kann man verhindern, indem man die Geschichte in ein
Frameset packt.
Außerdem gibt es noch die Möglichkeit die ID in einem HIDDEN-Field auf allen Seiten mitzuschleppen. Serverseitig kann man dann die SessionID mit der Warenkorbnummer
verknüpfen. Beides (Warenkorbnummern und Sessions) speichert man in seiner Datenbank
und läßt diese von Zeit zu Zeit automatisch aufräumen.

Im Übrigen kann auch ein gewiefter Cookie-Editierer in den Cookies spielen...
Solange die ID aber lang genug ist und nicht berechenbar, wird das immer schwierig sein...

Cheers
Jürgen