Wie generierst du die Session-id's? Wenn du einen zu einfachen Algorythmus benutzt, ist das ungünstig, weil dann der Schutzt gering ist, weil er zu leicht erraten werden kann.

Ich denke, für meine Zwecke sollte eine Kombination aus einem Timestamp (time()) und einem 15 stelligem Zufallscode aus Buchstaben und Ziffern genügen.

IMHO so alleine ungünstig, da du so nicht so gut schauen kannst, wie alt die Session Id ist.

Wieso denn nicht. Warum nicht einfach die Dateiattribute (Schreibzugriff) abfragen um an das Alter der Datei zu kommen. Und mit utime kann ich dann auch die SessionID updaten.

Ich würde eher in einer Datei alle Session Id's notieren, und dann diese Datei regelmäßig nach ungültigen, weil zu alten, Session Ids durchsuchen. Für die einzelnen Sessions kannst du dann immer noch einzelne Dateien oder einen Datenbank benutzten.

Ja das geht, aber das regelmäßige Durchsuchen ist halt noch das Problem. Inzwischen weiß ich auch, dass mein Webspace-Provider mir keine crontab bereitstellt.

Deshalb nicht die Ausszeit der Session in der Session Datei speichern, sondern alle zusammen in einer anderen Datei.

Ich hab das Gefühl, dadurch würde die Sache unnötig kompliziert.