Hi!

Aus diesem Grund sollte man »session.save_path« immer auf ein Verzeichnis im eigenen DocumentRoot umbiegen.

Ja, das globale Temp-Verzeichnis ist ungünstig. Aber im DocumentRoot und dessen Unterverzeichnissen sind die Session-Daten genauso schlecht aufgehoben wie beispielsweise Zugangsdaten zu Datenbanken. Am besten ist also ein privater Platz den der Webserver nicht über eine URL erreichbar macht.

Mit DocumentRoot meinte ich jetzt nicht ausdrücklich das Rootverzeichnis für den Apache, sondern eher das persönliche Rootverzeichnis beim Provider, welches normalerweise ja nicht gleich dem Apache-DocumentRoot ist.
Dennoch wäre es IMHO auch nicht so schlimm, wenn die »session.save_path« im DocumentRoot des Apache liegt, immerhin lässt sich der Zugriff auf ein solches Verzeichnis auf HTTP-Ebene ja einfach unterbinden.

Grüße,
Fabian St.