Hello,

Jetzt bin ich leider überfragt, wie lange diese Session Gültigkeit
hat. Sprich: was passiert, wenn der Anwender eingabe.php startet,
dann aber zwei Stunden in die Kaffeepause geht? Beendet der Server
dann die Session selber, z.B. wg. fehlender Eingabe..?

Bei keiner Aktivität bzw. keinem GET/POST läuft die Session nach einer bestimmten Zeit ab.

Die Variable für die Einstellung müsste folgende sein: session.gc_maxlifetime = "1440"

Mehr Informationen im PHP-Handbuch: http://de.php.net/manual/de/ref.session.php

Das ist nicht die ganze Wahrheit.
Es wird hier lediglich auf plumpe Art und Weise das Session-Verzeichnis (session.save_path) mit einem browse(Novell,...) (Linux read r--) gescannt nach Dateien mit letzter Veränderung kleienr der aktuellen mius der maxlifetime, und das passiert nur dann, wenn die Wahrscheinlichkeit genügend hoch eingestellt ist. Sonst geschieht das eben ("wahrscheinlichkeitsgesteuert") nur aller x Mal.

Es kann also passieren, dass eie Sessiondatei noch am nächsten Tag vorhanden ist.

Da Sessions in PHP generell nur eine zeitgesteurte Sicherheit beitzen, da ihnen der Referenzschlüssel fehlt, kann man die Sicherheit nur über zusätzliche Mechanismen steigern. Sessions als solche bilden in PHP also nur ein bis zwei Kompnonten von drei einfach möglichen.

Da die Zeit hier als eine Komponente mit großem Fenster (1440 Sekunden) benutzt wird, ist die Sicherheit nicht gewährleistet. Außerdem muss man ja noch mit Protokoll-Ablauschen rechnen.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom