Hallo,

eine kurze Frage habe ich:

Wie schwierig ist es für einen potentiellen Angreifer Session-Variablen auszulesen?

Dass die Session-ID beim Client bestenfalls in einem Cookie abgespeichert wird, ist mir klar.

Aber was ist mit den zu einer Session-ID gehörigen Variablen? Werden die vom Server verwaltet oder liegen die auch auf dem Client?

Darf man sensible Daten, wie die Verbindung zu einer Datenbank in Session-Variablen speichern?

Ist es sicher, ein Datenbankobjekt in einer Sessionvariable zu speichern?