Hallo,

Ich habe einiges zu Sessions, das ich noch nicht so recht verstehe.

Ich schreibe gerade an einem Onlineshop, bei dem es keine Benutzerregistrierung/Login gibt. Wann also soll ich die erstellten Sessions löschen? Dem User ein "Session löschen" anbieten finde ich nicht sinnvoll.

Zum zweiten: Was mache ich mit Kunden, bei denen Cookies deaktiviert sind (Browsereinstellungen oder Firewall)? Ich habe gelesen, dass es zu unsicher sei, die Session-Id in der URL zu übergeben. Wieso? Es wird wohl kaum jemand eine schon bestehende Session_Id erraten können.

Wenn ich die URL-Unterstützung einbaue, wie kann ich die Anzahl Sessions in Grenzen halten/wann soll ich die bestehende Session löschen?
Als Beispiel: Jemand betritt die Startseite (wo noch keine PHPSESSID dabei ist), und der drückt einige Male auf "Refresh". Schon habe ich mehrere Sessions, die Ewigkeiten halten können. Bei einem sehr gut besuchten Onlineshop geht das schon ins gewicht.

Kann mir jemand helfen? Vielen Dank, Patrick