Moin!

Und wie macht man das ohne die Session zu starten? Wo genau guckst Du was nach? Ich wäre jetzt auf die Idee gekommen, genau wie Du erstmal die Anmeldung zu überprüfen, aber das lasse ich vom Apachen erledigen, so habe ich einen rundum-Schutz und bin unabhängiger von PHP. Also wenn das Script dann also geladen wird kann ich davon ausgehen dass die Zugangsdaten gültig sind. Dann hätte ich folgende Idee:
Ich weise einfach den Usernamen als Session zu oder ist das blöd?
Einfach
session_id($_SERVER["REMOTE_USER]);
session_start();

Naja, das ist mir nur rein vom Gefühl her zu unsicher. Der Benutzer kann sich regulär einloggen, und dann, da er den Benutzernamen des Kollegen kennt, dessen Identität annehmen. Man müßte also immer prüfen, ob REMOTE_USER und registrierte Session zueinander passen. Klingt nicht wirklich gut.

Das ganze läuft simpel so ab (zugegeben: PHP 4.0.x):

if (Alte Session soll übernommen werden)
{
  session_id($alte_sessionid);
wo hast Du die alte SessionID her?

Die kommt aus der Datenbank, in der auch Username und Passwort drinstehen. Die schreibe ich da rein, wenn eine _neue_ Session gestartet wurde, und sie wird gelöscht, wenn der Benutzer sich echt ausloggt. Außerdem kriegt die Datenbank noch einen Timestamp des Einloggens mit, so dass man auch zeitlich irgendwann eine neue Session beginnen könnte - sofern das gewünscht ist.

}
else
{
  session_id($PHPSESSID)
}
kann man den Else-Teil nicht weglassen?

Keine Ahnung, so genau hab' ich mir das nicht angeschaut. Ich hatte das Gefühl, entweder das eine oder das andere machen zu müssen. :)

- Sven Rautenberg