- Sessions werden standardmäßig in /tmp serialisiert
- alle Benutzer des Servers können Sessions lesen!!
- setzen von session_save_path auf privates Verzeichnis
- noch besser:
X
session_set_save_handler('_open',
'_close',
'_read',
'_write',
'_destroy',
'_clean');