Hello,

ich wollte die Session-ID gar nicht erst an die Links anhängen, sondern direkt die PHP Ausgabe session_id mit der gespeicherten ID in der Datenbank vergleichen.

Und was soll Dir das nützen, wenn der Client die Session-ID gar nicht zugeschickt bekommt? Dann kann er sie doch dem Server beim nächsten request auch nicht wieder zurückschicken. Und genau auf diesem Mechanismus basieren doch Sessions.

Eine Session-ID unverschlüsselt zu versenden, ist nicht ungefährlich. Darauf wollte LX Dich hinweisen. Es ist aber im "normalen" Leben immer noch sicherer, als gar kein Schutz.

Ein harzliches Glückauf

Tom vom Berg