Hello,

Wir müssen wohl nochmal bei Adam & Eve beginnen?

ich hoffe doch nicht? ;)

Ich war davon ausgegangen, dass bei session_destroy() die betroffene Session  auf dem Server endgültig gelöscht wird. Ich komme nicht mal an das Session-Verzeichnis, weiss daher auch nicht, was sich da bereits angesammelt hat.

Was wird denn bei session_destroy() destroyed? Wie wird die denn gekillt, wenn sie auf dem Server nicht gelöscht wird?

*hoppla*

Welche Sessiondatei willst Du denn zerstören, wenn Dir deine letzte bekannte Session geklaut und damit von session_regenerate() umbenannt wurde? Ein [code lang = php] session_desdroy() [/code] sollte ins Leere greifen.

Wenn session_regenerate() nicht benutzt wurde, könnte deine Sessiondatei allerdings noch existieren. Das wäre dann estmal der Normalzustand.

Dann würdest Du aber nicht unbedingt merken, dass dort jemand Trittbrett fährt. Hängt immer von den Applikationen ab.

Erst, wenn der Andere 'was Blödes macht, würdest Du davon Wind bekommen.
Für eine Passwort-Änderung oder sonstige Konfigurationänderungen verlangt der Applikationsanbieter (alöso Du) ja hoffentlich ohnehin das alte Passwort...

Oder die Verbindung war ohnehin verschlüsselt!

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg