'n Abend Markus,

aber wie machst du das mit den timeout.
Ich habe mir in Perl z.B. ein eigenes Modul geschrieben, mit dem ich meine Session-IDs verwalten kann.
Wenn sich jetzt ein Benutzer erfolgreich anmeldet, vergebe ich dem Benutzer eine neue Session-ID und lösche alle Session-IDs aus der Datenbank, die älter als x-Stunden sind.
Wenn ich nun in anderen Programmteilen auf Daten einer Session-ID zugreife, aktualisiere ich immer die Zeit des letzten Zugriffs auf die Session-ID.

ja genau den gleichen weg hab ich schon die ganze zeit im kopf.
ich konnt mir nur nicht vorstellen das das alle so kompliziert machen, aber wahrscheinlich geht es nicht anders.

ich kann mir des aber noch so vorstellen, dass die größeren webseiten z.B. quelle ihre sessions mit cronjobs löschen.