Hallo Jakob,

da kommt wieder der Zeigefinger aus der Praxis hoch. Ist noch ganz viel Senf dran *g*

1. solltest Du hier mal die Suchfunktion bemühen, dann sollte Dir der Dauerbrenner zwischen Andreas Korthaus und mir erscheinen...

2. solltest Du dich nicht auf session_destroy() verlassen, da hierzu umfangreiche Rechte auf das Verzeichnis der Sessiondateien notwendig sind. Wenn der Provider nur das Scan-Recht für das Verzeichnis ausschaltet, geht z.B. schon mal der GC nicht nehr. Wenn der Provider auf nem Windows-System arbeitet, dann geht session_destroy() nicht, wenn der Apache kein Browse-Recht auf dfas Sessionverzeichnis hat, da Windows sich nicht an das Entschichtungsmodell für Dateizugriffe hält. Deshalb würde ihc es auch nie für wichitge Aufgaben einsetzen. Freue mich, dass IBM sich für Linux entschieden hat.

3. Du solltest einfach einen setcookie("PHPSESSID"); hinter Dein sesseion_destroy() schreiben. Und gut ist. Dem Client wird dann der "Session-Cookie" wieder entzogen und die Sessionnummer ist ihm nicht mehr bekannt.

4. Sessions haben nicht viel mit Rechten zu tun. Du solltest 1.) mal durchführen und darüber nachdenken.

Liebe Grüße aus http://www.braunschweig.de

Tom