Hello,

Der sollte am besten gleich außerhalb des DocumentRoots zu liegen kommen. Doch das ist oft nur bei den Providern möglich, die Domains auf Unterverzeichnisse des Kundenverzeichnisses zeigen lassen können. Dieses würde dann zum DocumentRoot werden und "nebenan" ist zugriffsfreier Speicherplatz.

oder die Sessions sollten in einem Verzeichnis liegen, dessen Name mit '.ht' beginnt.
Außerdem kann man den gemeinsamen Garbage Collector auch aussprerren, wenn man dieses Verzeichnis nicht browsable (das r-Recht entziehen) kennzeichnet. Dann kann nur noch gezielt auf Sessiondateien zugegriffen werden, nicht aber mehr mit glob() oder mit readdir().

Ich müsste dann in jeder Datei, in der ich Sessions nutze vor dem session_start(); den Befehl session_save_path(<Pfad>); angeben, oder?

oder aber in einer eigenen php.ini (CGI-Variante) oder einer .htaccess-Datei (Modul-Variante) den Wert für session.save_path setzen. Das geht aber nur dann, wenn der Provider das System auch intelligent eingerichtet hat, und den Unterschied zwischen php_admin_value und php_value auch nutzt.

Harzliche Grüße vom Berg und Frohe Weihnachtszeit

Tom

--
Nur selber lernen macht schlau