Tach!

Hast du auch bedacht, den session_save_path in ein separates Verzeichnis zu verbiegen, nicht dass dir andere Anwendungen mit ihren Einstellungen die Sessions löschen.
Oha, das habe ich nicht bedacht. Danke. Die Zeit von 24 Minuten hatte ich umgestellt über iniset und den ganzen GC-Parametern

Das gilt immer nur für den GC des aktuellen Script, nicht für die GCs der anderen Scripts, die in dasselbe Verzeichnis ihre Daten ablegen. Session-Dateien sind Session-Dateien, die werden nicht nach Anwendung oder gar Scriptnamen unterschieden.

Ich möchte das ein User nach 60 Minuten inaktivität automatisch ausgeloggt wird.

Ganz schön lang im Verhältnis zu den anderen "Paranoia"-Werten.

ich möchte SESSION-HiJacking verhindern. DAs heißt das eine ID niemals für 2 Aufrufe gleichzeitig gelten soll.

Dann kannst du beruhigt session_regenerate_id(true) verwenden, denn alles andere darf dann nicht funktionieren. Gegen das versehentliche Doppelklicken hilft, wie gesagt, Javascript. Zwei Tabs dürfen dann einfach nicht sein.

Hast du einen guten Grund für diesen Aufwand, der sich nicht mit der Erlaubnis eines zweiten Tabs beißt?
Verhinderung von SESSION-HiJacking

Das ist mir zu allgemein formuliert. Je nachdem, was man mit einer gehijackten Session für Schaden anrichten kann oder auch nicht, sollte man das Paranoia-Level ausrichten. Zu viel des Guten ist auch ungesund.

dedlfix.