Was die andere Möglichkeit angeht: Angenommen (Unix vorausgesetzt) deine Seite liegt unter

/var/www/seite/htdocs

Du legst jetzt ein Verzeichnis

/var/www/seite/config

an. Da kommen deine Konfigs rein. Über den Dateisystempfad kommt PHP immer noch ran, aber über die URL kommt man nicht mehr ran, da der Apache nur die Sachen in htdocs ausliefern kann. PHP bietet aber noch einen SecureMode (oder so ähnlich) bei dem PHP in einem Verzeichnis "einsperren" kannst. Das musst du ebenfalls entsprechend konfigurieren. Hier verweise ich auf das PHP Manual. ([link=http://www.php.net])

Ok, dachte ich mir schon so. Das ist dann die maximale Sicherheit - selbst wenn mal der PHP-Interpreter ausfällt, kommt niemand von außen mehr ran.

Kann PHP auch mit relativer Pfadangabe darauf schreibend zugreifen, um die Config zu setzen?

chdir("../config/"); // von htdocs aus
$handle = fopen("config.php", "w");

Ansonsten müßte die config.php per FTP übertragen werden.

Das hängt davon ab, wie PHP konfiguriert ist. Aber aus Sicherheitsbedenken will ich sowieso Sitzungen nicht über Get-Parameter identifizieren.

Hmm, das könnte datenschutzrechtliche Probleme aufwerfen. Cookies werden da von einige Juristen bereits als Erhebung personenbezogener Daten beurteilt... Je nach dem was für eine Seite es ist solltest du dich da mal schlau machen. Stichworte: Telemediengesetz bzw. Kommentare dazu. Da das TMG recht neu ist, sind auch die Kommentare zum Telediestegesetz bzw. Teledienstedatenschutzgesetz interessant. Der Datenschutzteil des TMG ist fast identisch mit dem TDDSG... Natürlich ist auch Bundesdatenschutzgesetz zu beachten...

Eigentlich nicht. In dem Cookie werden die Sitzungsvariablen nicht gespeichert. Die werden in einer Sessiondatei in einem temporären Verzeichnis gespeichert (session.save_path in der php.ini gibt an, wo das ist) und verlassen nie den Server.