Guten Morgen

Und nun beginnt mein Problem - wenn nun jemand versucht über irgendeine Seite (ohne das Frameset geladen zu haben) einzusteigen und hängt an diese eine PHPSESSID dran (aus welchen Gründen auch immer, aber ich denke mir, dass so etwas sicherlich vorkommt, habe ich bereits auch in einigen Postings im Forum gelesen), weiß ich nicht was ich mit dem tun soll, wenn es die PHPSESSID gibt.

Grundsätzlich würde er auf dieser Seite bleiben, ist quasi in der Datenbank registriert. Abgesehen davon, dass ich dann das Frameset nicht nachladen kann, habe ich das Problem dass dann zwei mit der gleichen PHPSESSID zugreifen.

Du könntest die Navigation auf deinen Seiten über post-Formulare machen und die PHPSESSID nur akzeptieren, wenn sie in den $HTTP_POST_VARS[] steht. Das würde dann schon einigen Aufwand bedeuten, dies zu "hacken". Wobei noch die Frage bleibt, was die Gründe für das von dir beschriebene Verhalten eines Users sein könnte:
1. Zufall: Sehr unwahrscheinlich, daß er eine gerade  gültige PHPSESSID erwischt, ich denke, daß man diesen Fall eigentlich ausschließen kann, das ist aber mit Sicherheit durch oben beschriebene Methode zu verhindern.
2. Bosheit: Möglich und auch durch nichts zu verhindern, wobei es schwierig sein dürfte, eine gültige PHPSESSID herauszubekommen, wenn man keinen Zugriff auf einen Rechner hat, der eine vom Server bekommen hat; die PHPSESSID ist auch aus einem Cookie auslesbar, und es ist auch möglich, Cookies zu "simulieren", so daß du vor dem gleichen Problem stehst. Die Frage ist hier aber, was es für einen Hacker bringen kann, sich als ein Kunde auszugeben, der gerade etwas bestellen will. Bei Abschluß einer Bestellung sollte doch ohnehin nach Name / Passwort gefragt werden, und auch nocheinmal alle Artikel aufgelistet werden.
3. Browserwechsel: Ich komme z.b. mit Opera immer wieder auf seiten, die nicht richtig angezeigt werden, da bin ich dann sehr froh, wenn alle angaben in der URL stehen, dann kann ich mit einem anderen Browser direkt da weitersurfen. Scheidet aber bei Framesets sowieso aus (leider, leider, leider, vielleicht sollte man doch darüber nachdenken, ob man das nicht ohne Frames machen könnte, auch wenn ich das gar nicht schreiben möchte, weil ich die Antworten a la "ich habe ein Problem mit Frames" - "Dann nimm keine Frames" nicht sehr schätze...)

Heizer