Hallo Silvio,

abhängig von den Performance-Implikationen ist es ein denkbarer Weg, die Session in der Datenbank zu speichern, ja.

Gängige Praxis ist es allerdings heutzutage, die Session in einem Cookie zu speichern und den Inhalt zu verschlüsseln und zu signieren, so dass einerseits zwar der Client immer die Session-Daten liefert aber er andererseits auch nicht daran herum manipulieren kann. Die gängigen größeren Web-Frameworks handhaben das alle so.

LG,
CK