Hallo Malcolm,

Klar, aber wie willst du die User-ID in die Session kriegen? Bei PHP verlässt die Session doch den Server nicht, nur die Session-ID.

Stimmt, ich hatte mich Mental auf die Cookie-Variante eingeschossen.

Wenn man die User-ID in einem Session-Cookie speichert muss natürlich der Manipulation vorgebeugt werden. Das wird, wie ich bereits versucht habe zu erklären, in der Praxis über eine kryptografische Signatur gemacht. Der Wert des Cookies wird serialisiert, dann signiert und zuletzt zum Browser geschickt, so dass eine Änderung des Wertes eine ungültige Signatur zur Folge hat. Beim Einlesen des Cookies wiederum wird die Signatur überprüft und nur wenn sie gültig ist, wird der Cookie akzeptiert.

LG,
CK