also wird automatisch doch ein Cookie beim Client gesetzt, wenn session_start() aufgerufen wird? Somit ist natürlich klar, dass der Client eindeutig identifiziert werden kann.


Man kann sich selbst eine eindeutige ID generieren und diese für die Verweildauer des Aufenthalts des Besuchers ständig über GET/POST/Adressanhang weiterreichen. Nachteil ist eben, dass beim Verlassen der Seite auf die Session hinüber ist, da die ID nicht fest in Datei gespeichert wird.

Ich habe auch was gebraucht, bis ich gechekt habe, wie es funktioneiert. Aber es ist tatsächlich ganz simpel. Ich greife NUR in der geposteten Datei auf session-Funktionen zurück, sonst nirgends.
PHP macht dabei (fast) alles automatisch.
Mit dem Befehl
session_start()
bekommt der client per cookie eine ID zugewiesen. Wenn die ID bereits existiert (also wenn das nicht die erste Seite ist, die der User aufruft), wird die vorhandene Session fortgeführt. Jetzt kannst du Session-Variablen speichern:
$_SESSION["blabla"] :="mein Variableninhalt";
$_SESSION ist also ein assoziativer Array, in dem du einfach was reinspeichern kannst, was bei einem weiteren Seitenaufrufs des gleichen Users wieder in der Variable drin steht. Ich nutze das, um Passwort und Username zu speichern...
Um alle Sessionvariablen wieder zu löschen kannst du diese Funktion benutzen:
session_unset() //löscht alle session-Variablen
und um die session danach grundsätzlich zu beenden:
session_destroy()

Ich habe zwangweise mal ein LogIn gemacht, basierend auf PHP&MySQL, weil ich damals ein GB gemacht habe.

Das GB selber wurde nie fertig (wurde langweilig), der Login aber wurde ja gleich am Anfang gemacht.

Wenn interesse besteht, pack ich mal die funktionen dazu beieinander und poste sie.

air

Mich würde das interessieren! Gib mal bitte!

mfg, mh166

Noch ein Tip: Niemals Passworter solala speichern, sonder mit MD5(Passwort) - Funktion ein Hash machen den speichern und diesen auch immer vergleichen.

PS: denkt bei Cookies daran, das es User gibt, die diese abschalten

Naja, ich setze voraus, dass Nutzer Cookies anschalten, zumindest für die Verweildauer des Besuches. Wer diese nicht einschaltet, muss auf mein Webangebot verzichten. Ich halte das aber auch für ok, denn wer sich informiert, sollte schnell feststellen, dass Cookies völlig harmlos sind und allenfalls zum Usertracking missbraucht werden können.
Aber um ganz sicher zu gehen dass es auch bei Cookieparanoiden läuft kann sonst nur noch eine Session-ID über die Browserzeile weitergereicht werden, was in meinen Augen umständlich erscheint, außerdem durch den Anwender manipulierbar ist.

wo ich grad beim Thema bin:
@yankee:
Es gibt doch auch die Möglichkeit mit session_register anstatt
$_SESSION["blabla"] :="mein Variableninhalt";

Ich habe damit bisher öfters herumexperimentiert, allerdings nie zuverlässig auf die session-registrierten variablen zurückgreifen können. Ich nutze daher ebenfalls die $_SESSION["blabla"] Methode.
Hast Du damit Erfahrung?

Wie gesagt: ich hätte Interesse daran und es wäre nett, wenn du sie posten könntest!

mfg, mh166