Grotten-leider-schlecht, muß ich dir in Grenzen zustimmen...(obwohl ich nicht will)
$_SESSION['warenkorb'] ist relativ leicht zu beauskunften
Ansonsten bedenke:
Jeder Browser schleppt sowas wie eine Signatur mit sich..
- Wer bin ich
- Welche Mimetypen mag ich und wie gerne
- Welche Charsets mag ich und wie gerne
- Gesetzte Cookies
- Per output_add_rewrite_var() angehangene IDs
Innerhalb des Gültigkeitsbereiches einer Session wird er diese nicht ändern.
Und wenn, dann ist von einer Attacke auszugehen!! (Welche ja hier simuliert werden soll)
Kochrezept:
Eine Singleton Session Klasse, deren Referenz in $_SESSION abgelegt wird.
__wakeup() benutzt obrige Liste als Key zur Dekodierung der Daten
Am Rande:
session_regenerate_id() gibts ja auch noch...