Grundlagen

Bewegt sich ein User auf einer Website ohne diese zu verlassen oder den Browser zu schließen spricht man von einer Session. Das Session-Objekt in PHP bietet die Möglichkeit innerhalb einer solchen Session Daten mitzuführen, um z.B. einen EShop zu programmieren. D.h. Kundendaten und bereist ausgewählte Bestellungen werden solange auf dem Server gespeichert bis die Bestellung versendet oder die Session beendet wird.

Dem User wird beim Aufrufen einer Website durch session_start eine eindeutige Session-ID, zugeordnet. Diese wird bei ihm entweder in einem Cookie abgelegt oder in der URL übermittelt und somit immer weitergereicht. Die Session-ID legitimiert den User an die in der Session gespeicherten Daten zu gelangen.

Um Daten innerhalb einer Session zu speichern müssen Variablen zuerst mit session_register registriert werden. Bis session_destroy aufgerufen oder der Browser geschlossen wird bleiben die Daten dann erhalten.

 www.php.net/manual/de/ref.session.php

Session-Sicherheit

Jemand der in den Besitz der Session-ID kommt, kann an die Daten anderer gelangen. Das wäre z.B. der Fall wenn der Browser nicht geschlossen wird während die Session noch läuft. Das Session-Objekt allein ist also noch kein absoluter Schutz vor Datendiebstahl. In Kombination mit Zeitmarken und Passworten lässt sich der Schutz erhöhen. Für Finanztransaktion müssen jedoch andere Verfahren verwendet werden.