Hi,

Die SessionID nimmt z. B. linear zu (auto-increment Wert aus der DB), dazu wird ein SessionKey generiert (z. B. kombination aus Zeit, SessionID und meinetwegen einer kodierten "or" Operation mit HTTP_USER_AGENT und REMOTE_ADDR). Die SessionID, SessionKey und Sessiondaten werden dann in einer Tabelle gespeichert.

warum so kompliziert? Ein Timestamp in Kombination mit einer (fast echten) Zufallszahl und das ganz MD5-gecryptet reicht doch auch, oder?

Man könnte in der Sessiontabelle auch die Session-ID an die IP und Useragent binden. Das reduziert die Chance von Angriffen auch, da es einige Faktoren mehr zu "erraten" gibt. Bindung an eine IP hat aber den Nachteil, dass es bei Clients mit dynamisch zugewiesenen IPs (z.B. Dialup-Accounts) schnell mal zu Problemen kommen kann.

Viele Grüsse,
Achim