Hi,

Sessions funktionieren grob gesagt wie folgt: Der Client erhält einen Identifikator seiner Session. Dieser Wert ist lediglich eindeutig, transportiert darüber hinaus aber keinerlei Information. Auf Serverseite wird der Identifikator mit einem Set an Daten assoziiert; mit diesen Daten kann der Server arbeiten.

Das wusste ich nicht, ich habe es in der Tat anders. Ich prüfe bei jedem Seitenaufbau die Kombination. Dachte, dann kann man eine "User sowieso ist eingeloggt"-Variable nicht unterjubeln. Ist vielleicht echt Quatsch.
Also Du meinst, ich soll die Prüfung EINMAL ausführen?

Ja. Die permanente Prüfung kostet Ressourcen, die insbesondere beim Prüfen gegen eine Datenbank teuer sind. Nur der Server verwaltet die Sessiondaten; gefährlich wird es erst dann, wenn eine Sicherheitslücke erzeugt wird, die es erlaubt, eigenen serverseitigen Code auszuführen (oder wenn entsprechend mächtiger Code bereits vorliegt und vom Nutzer ausgeführt werden kann).

Das Problem, dass ich jetzt gerade habe:

Ich sehe eigentlich kein Problem darin. Wenn Du keine Session erzeugen möchtest, dann lass es halt bleiben - die Überprüfung der Benutzerdaten kannst Du ja durchführen, ohne damit eine Session zu öffnen. Ich bin nur nicht sicher, ob diese Möglichkeit vom Benutzerkonzept her sinnig ist, was aber natürlich auch vom Einzelfall abhängt.

Cheatah