Hallo,

Ich habe mich jetzt durch wilden Foren gestöbert und hier und da Tutorials über Sessions gelesen. Dabei blieb mir jedoch eine sicherheitsbezogene Frage offen.

ich glaube, dann ist *dir* ein wichtiges Detail entgangen; das sollte eigentlich in jedem Artikel über Sessions erläutert werden.

User X geht auf eine Seite und dort wird ihm ( via session_start() ) ein Cookie erstellt inklusive Session Schlüssel.
a) Kann User X nachschauen welche Session-Variablen gesetzt sind mit welchen Werten ?

Nein. Er hat ja nur die Session ID, also den Schlüssel, an dem der *Server* ihn wiedererkennt und ihm den richtigen Datensatz aus der Session-Datei zuordnen kann. Der Client selbst sieht die tatsächlich gespeicherten Session-Daten nicht.

b) Kann User X sobald er eine Session hat sich selbst Variablen erstellen oder andere bearbeiten ?

Nein, aus demselben Grund.

Danke fürs beantworten der Fragen im Vorraus,

Die 'r' warren im Doppelpack prreiswerrterr? (Vom Plenken mal abgesehen.)

Ciao,
 Martin