Das Gedächtnis des Servers

PHP Sessions: Logins, Warenkörbe & mehr

Hier lernst du

Sessions starten

Du lernst session_start() und $_SESSION zu verwenden

Benutzer identifizieren

Du verstehst, wie Sessions Benutzer ueber mehrere Seiten tracken

Sicher speichern

Du kannst sensible Daten server-seitig speichern

1. Sessions vs. Cookies – was ist der Unterschied?

Wir kennen bereits Cookies: kleine Notizzettel, die auf dem Computer des Benutzers gespeichert werden. Jeder kann diesen Zettel theoretisch sehen und verändern. Sessions funktionieren anders: Die eigentlichen Daten liegen sicher auf dem Server. Der Browser bekommt nur eine einzige, geheime Nummer – die Session-ID.

Die Garderobennummern-Metapher

Cookie

Wie ein Notizzettel in deiner Hosentasche. Du trägst alle Infos selbst – aber jemand könnte den Zettel lesen oder fälschen.

Session

Wie eine Garderoben-Nummer. Du bekommst nur die Nummer (ID). Die Jacke (= deine Daten) hängt sicher beim Personal (= Server).

Merkmal Cookie Session
Daten gespeichert bei Browser (Client) Server
Sicherheit ⚠️ Manipulierbar ✅ Sicher (auf dem Server)
Lebensdauer Definierbar (Tage, Jahre) Bis Browser-Tab/Fenster schließt
Typischer Einsatz "Erinnere mich"-Funktion Login-Status, Warenkorb

2. Eine Session starten

Die wichtigste Regel: Auf jeder PHP-Seite, die mit Sessions arbeitet, muss session_start() als allererster Befehl stehen – noch bevor irgendeine HTML-Ausgabe erfolgt.

<?php
// MUSS als ERSTER Befehl stehen – noch vor jeglichem HTML!
session_start();
?>
<!DOCTYPE html>
<html>
  <body>
    <!-- ... -->
  </body>
</html>

Danach kann man Daten in $_SESSION speichern – wie in einem normalen Array:

<?php
session_start();

// Daten in der Session speichern (z.B. nach erfolgreichem Login)
$_SESSION['benutzer_name'] = "Anna";
$_SESSION['ist_eingeloggt'] = true;
$_SESSION['rolle'] = "admin";

echo "Session gestartet für: " . $_SESSION['benutzer_name'];
?>
session_start() muss auf JEDER Seite stehen

Nicht nur auf der Login-Seite! Auf jeder Seite, auf der du Session-Daten lesen oder schreiben willst, muss session_start() als erster Befehl stehen.

3. Session-Daten lesen und prüfen

Auf einer anderen Seite (z.B. nach einem Weiterleiten) können wir die gespeicherten Session-Daten wieder abrufen. Das ist der Kern eines Login-Systems.

<?php
session_start(); // Immer zuerst!

// Prüfen: Ist der Benutzer überhaupt eingeloggt?
if (isset($_SESSION['ist_eingeloggt']) && $_SESSION['ist_eingeloggt'] === true) {

    // Eingeloggt → Begrüßung ausgeben
    $name = htmlspecialchars($_SESSION['benutzer_name']);
    echo "Willkommen, " . $name . "!";

} else {

    // Nicht eingeloggt → Weiterleiten zur Login-Seite
    header("Location: login.php");
    exit(); // WICHTIG: exit() nach header() aufrufen!

}
?>
Was ist header("Location: ...")?

Diese Funktion leitet den Browser automatisch auf eine andere Seite weiter – wie eine Weiche auf einer Eisenbahnstrecke. Das exit() dahinter ist Pflicht, da PHP sonst den Rest des Codes trotzdem weiter ausführt.

4. Praxisbeispiel: Einfaches Login-System

Ein typisches Login besteht aus zwei Dateien: login.php (Formular + Prüfung) und einer geschützten Seite wie dashboard.php.

login.php

<?php
session_start();

if (isset($_POST['passwort'])) {

    // In der Praxis: Passwort-Prüfung gegen Datenbank mit password_verify()
    if ($_POST['passwort'] === "geheim123") {
        $_SESSION['ist_eingeloggt'] = true;
        $_SESSION['benutzer_name'] = htmlspecialchars($_POST['name']);
        header("Location: dashboard.php"); // Weiterleiten nach Login
        exit();
    } else {
        $fehler = "Falsches Passwort!";
    }
}
?>
<form method="POST">
    <input type="text" name="name">
    <input type="password" name="passwort">
    <button type="submit">Einloggen</button>
</form>

dashboard.php (geschützte Seite)

<?php
session_start();

// Zugriffskontrolle: Wer nicht eingeloggt ist, kommt nicht rein
if (!isset($_SESSION['ist_eingeloggt']) || $_SESSION['ist_eingeloggt'] !== true) {
    header("Location: login.php");
    exit();
}

// Ab hier: nur eingeloggte User kommen an diesen Code
echo "Hallo, " . $_SESSION['benutzer_name'] . "! Willkommen im Dashboard.";
?>

5. Session beenden – der Logout

Beim Logout müssen wir die Session vollständig vernichten – es reicht nicht, nur einzelne Werte zu löschen. Ein ordentlicher Logout besteht aus drei Schritten:

Schritt 1

$_SESSION = []

Array leeren

Schritt 2

session_destroy()

Server-Datei löschen

Schritt 3

header("Location: ...")

Weiterleiten

<?php
session_start();

// 1. Alle Session-Variablen leeren
$_SESSION = [];

// 2. Die Session auf dem Server endgültig löschen
session_destroy();

// 3. Zurück zur Login-Seite weiterleiten
header("Location: login.php");
exit();
?>

Cheat Sheet: Sessions auf einen Blick

Session starten & schreiben

session_start();
$_SESSION['key'] = "Wert";

Session lesen

session_start();
echo $_SESSION['key'];

Login prüfen

if (!isset($_SESSION['eingeloggt'])) {
  header("Location: login.php");
  exit();
}

Logout

$_SESSION = [];
session_destroy();
header("Location: login.php");
exit();

Dynamische Webseiten 2 | eduhigh.net | Seminarunterlagen