Hi Chris

eine sessionvariable wird lokal bei dem user angelegt. und wenn er sich nicht abmeldet, vegetiert sie bei ihm auf dem rechner vor sich hin.

Ja das ist klar, aber es gibt ja öffentliche Computer, bei denen eben alle Benutzer diese lokalen Daten teilen.

demnach kann kein anderer user auf genau diese zugreifen. prinzipiell solltest du auch bei dem anlegen von sessionvariablen eine zeit mit angeben, sprich: nach wieviel minuten die session zerstört werden soll.

Danke für den Tipp.

und zudem solltest du das pw nicht direkt in die session eintragen, oder zumindest vorher mit base64encode($pw) codieren...

In der Session selbst wird nur eine ID durchgeschleift.

ciao
Timm