Hello,

Was haeltst Du von der Idee aus [pref:t=66435&m=379083] ff.,
in den "normalen" Seiten das ganze Session-Zeugs erst
anzuwerfen, wenn bereits eine Session-ID vorhanden ist:
if (isset($_REQUEST['PHPSESSID']))
  { session_start(); }

D.h. die Benutzer (und Spider) koennen vorerst ohne Session
rumsurfen und kriegen (scheinbar) statische Seiten mit
ganz normalen Links ohne Session-ID-Parameter.

Erst, wenn sie ueber ein _Formular_ das erste Produkt
"in den Warenkorb legen" oder so, wird _dort_ eine Session
gestartet, und von da an haben sie eine Session-ID, die
per Cookie oder URL-Parameter weitergegeben wird.

Dieses Konzept leuchtet mir ein. Aber ist es praktikabel?

Was ich von Shops ohne echte Benutzerauthentifizierung halte, habe ich ja schon gesagt. Und wenn der User sich zum Shoppen anmeldet, dann kann man ohne Weiteres auf Cookies prüfen, und wenn die nicht unterstützt werden, Auth401 verwenden und dei Session dann eben selber implementieren.

So habe ich das in meinem kleinen CMS (Gemeinschaftsportal) auch gemacht. Jeder kann da rumsurfen und wenn er irgendwo Nachrichten hinterlassen will, oder gar seine eigenen Seiten verändern will, muss er eben einloggen. Es hat sich noch kein User darüber beschwert.

Und von Ebay kennt man das auch so, und von Otto und wie sie alle heißen.

Alternativ darf man eben Seiten, zwischen denen weitergetragen werden sollen, nur mit Post bedienen und übergibt ein gepacktes Hidden-Field. Wenn dann zwischendurch (mit Get) eine andere Seite aufgesucht wird, sind die Daten weg. Das muss aber jedem klar sein, der seinen Einkauf auf eigenen Wegen verlässt.

Stephan hat sich hier aber eine ganz andere Zielsetzung gegeben. Man kann durch die ganze Welt surfen und ohne Authentifizierung mal eben hier und da was einkaufen. Man kann die Datenbank auch ordentlich quälen, ohne nachher überhaupt sagen zu können, wer das war.

Liebe Grüße aus http://www.braunschweig.de

Tom