Hi!

Also kommen die Gruppendaten in die Session und die Session-ID wird dann, je nach Einstellung, als Cookie übertragen, die Gruppendaten stehen aber nicht dort drin und sind deshalb auch nicht manipulierbar?

Genau. Session-Daten bleiben auf dem Server und nur die Session-ID wird dem Client mitgeteilt, der diese bei seinen Requests wieder mitsendet und somit erkennbar ist. Der Server öffnet die der Session-ID zugeordnete Datenhaltung und die Daten stehen wieder zur Verfügung. PHP legt dafür eine Datei pro Session im mit session.save_path konfigurierten Verzeichnis an. Aber auch eine Datenbank ist als Ablage konfigurierbar (braucht man, wenn man Lastverteilung über mehrere Server haben möchte und die Session-Daten zentral verfügbar sein müssen).

Lo!