Hi,

Ich schreibe gerade an einem Onlineshop, bei dem es keine Benutzerregistrierung/Login gibt.

"Warum nicht?", frage ich da einfach mal spasseshalber.

Wann also soll ich die erstellten Sessions löschen?

Gar nicht. Die timen aus.

Dem User ein "Session löschen" anbieten finde ich nicht sinnvoll.

Brrr   ;-)
Aber ein Ausloggen, was ja letztlich auf eine Ruecknahme der Sitzungsauthetifizierung hinauslaeuft, ist schon OK.

Zum zweiten: Was mache ich mit Kunden, bei denen Cookies deaktiviert sind (Browsereinstellungen oder Firewall)?

Sitzungskonzepte ohne Cookies nutzen.

Ich habe gelesen, dass es zu unsicher sei, die Session-Id in der URL zu übergeben. Wieso? Es wird wohl kaum jemand eine schon bestehende Session_Id erraten können.

Im Prinzip schon richitg, erraten nicht, aber "abhoeren".

Wenn ich die URL-Unterstützung einbaue, wie kann ich die Anzahl Sessions in Grenzen halten/wann soll ich die bestehende Session löschen?

Per Job einmal naechtlich?

Als Beispiel: Jemand betritt die Startseite (wo noch keine PHPSESSID dabei ist), und der drückt einige Male auf "Refresh". Schon habe ich mehrere Sessions, die Ewigkeiten halten können. Bei einem sehr gut besuchten Onlineshop geht das schon ins gewicht.

s.o.

Gruss,
Lude