Ich will garnicht zwingend auf PHP-Sessions verzichten. Ich will mir auch keine eigene Lösung basteln. Ich wollte nur fragen, ob es Meinungen gibt, die für einen generellen Verzicht von PHP-Sessions sprechen bzw. ob PHP-Sessions sicher genug sind, um sensible Daten darin zu speichern.

EDIT:

Dann muss man anscheinend selbst für die nötige Sicherheit sorgen.

Hast du eig. schon eine xml Lösung gefunden?

Bezogen auf welches Problem?

Das mit dem die()
LG rs-web

Ich muss gestehen, dass ich an dem Problem noch nicht weitergearbeitet habe. Bisher nutze ich die XML Datei ohne 'Schutzvorrichtung'

Achso, kein Problem^^

Das würde ich nicht empfehlen:
1. Ein schlecht konfigurierter Server (Kommt häufiger vor, als man denkt), können unter Umständen andere auf die Session-Daten zugreifen
2. Die Session-Daten bleiben immer eine Zeit lang auf dem Server. Wenn Du Daten darin speicherst, kann es im schlimmsten Fall zu Speicherproblemen kommen (Ist allerdings unwahrscheinlich). Wahrscheinlicher ist, dass PHP manchmal ab einer best. Größe einer Session-Datei Probleme mit dem Auslesen macht.

__________________
... Meine Meinung

Ich habe schon mehrfach gelesen, dass es möglich ist eine fremde Session zu übernehmen, aber wie geht das von statten und wo liegt der Fehler?

Lies mal hier: Session Hijacking ? Wikipedia

Danke, aber den Artikel kannte ich schon. Für mich war das anfangs recht allgemein formuliert, aber zusammen mit Cross-Site-Scripting ergibt es einen Sinn.