Hi!

Wie meinst Du das mit der Session? Diesen Ansatz kann ich nicht ganz nachvollziehen.

Bei einer Session werden serverseitig Daten in einem temporären Speicher abgelegt. Der Client wird anhand einer Session-ID identifiziert, die er vom Server zugewiesen bekommt und bei jedem Request mitzusenden hat - zum Beispiel in einem Cookie. Über diese Session-ID findet das Session-Management die zugehörigen Daten auf dem Server.

Die Daten sind gegen direkte Manipulation durch Clients sicher. Lediglich die Session-ID kann er verfälschen. Dann bekommt er im besten Fall eine Session ohne Daten (wie ein Client, dem noch keine Session gestartet wurde) oder die Daten einer fremden Session. Letzteres verhindert man möglichst, in dem man die Session-ID unerratbar gestaltet.

Unter PHP ist das Verwenden von Sessions normalerweise sehr einfach: session_start() an (je)den Script-Anfang stellen und dann auf das Array $_SESSION zugreifen.

Lo!