Originariamente inviato da lenna
sono sul filesystem... ma non necessariamente le tieni in /tmp
puoi fare un set_ini per il path dove salvi le sessioni
anche perche' (speciamlemnte se sei in hosting) non mi pare il caso di mettere le sessioni tutti nello stesso posto... questo vale ancora di piu' se hai un cluster di macchine (dove la /tmp e' accessibile dalla singola macchina e quindi potresti perdere la sessione navigando)

ad ogni modo tutte le tue obiezioni sono piu' che legittime, e utilissime per trovare soluzioni di sicurezza sul sistema;

ho anche una classe simile che pero' non usa le sessione del php ma (con lo stesso sistema) se le salva sul db, questa oltre ad essere piu' lenta scrive comunque nel filesystem (nei files del db) che sono accessibili con lo stesso metodo che dicevi (spesso in /usr/local/mysql/data), se poi c'e' phpmyadmin allora e' veramente una pacchia
hum

1) su un server web che nn è tuo nn puoi impostare la path...e "forse" la puoi leggere direttamente usando ini_get. e' vero nn sempre /tmp ma cmq stanno tutte insieme nella stessa dir

2) confermo...nn è una bella idea usare le sessioni su macchine in hosting ^_^

3) uhm...vorrei farti notare ad esempio il forum di HTML.it ti sembra lento? eppure usa MySQL + PHP e fa una cosa come un migliaio di richieste al secondo...(qui ci vorrebbe il grande saibal... :P)

4) --> /usr/local/mysql/data è vero...ma su un sistema linux\unix mentre le sessioni devono essere dell'utente di APACHE x essere modificate da PHP, i file di mysql devono essere accessibili SOLO a MySQL...nessuno hoster su linuz da la possibilità di modificarli...neanche di leggerli...servono solo a mysql, quindi questo rischio neanchè c'è ^_^

5) Con phpmyadmin è una pacchia si...ma solo se hai le pass...ma in quel caso devi bucare mysql...e nn è cosi lineare...soprattutto se usi un bruteforcing...se ne accorgono ... :P

well

ciapzzz