Ciao,ognuno ha i suoi pro e contro.Direi che dipende anche dal tipo di sito che hai e dagli utenti connessi.
Php scrive files su un hard disk per le sessioni e questo può diventare lento (tutto è ovviamente relativo, per darti un ordine di grandezza siamo intorno ai 100-150 ms), poi dipende se il server ha ssd o meno; ma può essere anche più veloce rispetto all'impostazione database, soprattutto se il database è su un altro server.Se usi php, il server deve poi essere configurato correttamente per poter usare il session handler con php.Database può avere problemi se hai tanti utenti connessi contemporaneamente (errore too many connections).Altro aspetto riguardante la sicurezza: la maggior parte delle vulnerabilità, legate soprattutto ad estensioni esterne, sono di tipo sql injection: se qualcuno è loggato come amministratore e l'intruso ha accesso al database attraverso l'sql injection, può rubare la sessione e avere completo accesso al backend senza conoscere user e password.Più o meno quello che è successo a facebook recentemente
.Questo quello che so sull'argomento.
