Tach!

So, jetzt hatte ich seither 2 Logouts (übrigens beide berechtigt und gewollt, weil User zu lange untätig war). Beide Sessiondateien sind nach wie vor existent. Bei einem lieferte mir der Browser auch ein zugehöriges $_COOKIE['PHPSESSID']. Im anderen Fall war dieses ($_COOKIE['PHPSESSID']) leer oder nicht vorhanden. In beiden Fällen war die SessionID aber über session_id() auslesbar.

Frage: Kann ich hieraus etwas deuten? Wenn ja, was?

Ja klar, du kannst da hineininterpretieren, was immer du willst. Zum Beispiel könnte man sehen (eher im Sinne, wie Wahrsager etwas sehen), dass dem zweiten Browser der Session-Cookie abgelaufen war. Aber das kann auch ganz andere Ursachen haben, warum der den Cookie nicht mitsendet, oder warum der auf dem Weg verlorenging.

Dass die session_id() auslesbar war, liegt wohl am vorherigen session_start(), welches eine ID aus den entsprechenden Requestdaten nimmt oder sie erzeugt.

Nebenfrage: Was mir, unabhängig meines Problems der verlorenen Sessions immer wieder mal auffällt: Fast immer kann ich die Cookiedaten in Klartext auslesen. Aber ab und an, so wie eben, steht dort nur Buchstaben-/Zahlensalat drin. Als wären sie verschlüsselt. Kann mir das einer erklären?

Das kann die jeweilige Anwendung machen wie sie will. Nicht immer ist Unlesbares verschlüsselt, es kann auch eine Zufallszeichenfolge sein, wie bei der Session-ID.

dedlfix.