Zu Löschen verfallener Sessions bietet sich der Destruktor an.

Ich meine damit nicht die Session als Objekt/Klasse an sich, sondern alte Sitzungsdaten innerhalb der DB, die älter als x Tage sind.

Der Speicherort einer Session ist eine abstrakte Größe. Eine Session, zu der kein Login vorliegt, beinhaltet lediglich die Session-ID und einen Zeitstempel. Bis dahin ist eine Session uninteressant für serverseitige Prozesse und nicht wert, serverseitig gespeichert zu werden. Eine Session wird erst in dem Moment interessant, wenn bestimmte Benutzeraktionen erfolgen, z.B. ein Login: In dem Moment, wo die Credentials gesendet werden, schickt der Browser auch die SID und erst jetzt gibt es einen Grund für serverseitiges Speichern. Aber auch hier, im Fall eines erfolgreichen Login, gibt es keinen Grund die Session zu speichern, sondern einen Grund, den Erfolg des Login-Prozesses zu speichern.

Das Login-System ist bereits in der Klasse Session direkt mitinbegriffen.

Mein Vorschlag: Unterscheide in Deiner Anwendung zwischen Login und Session.

Hotti