Hallo Michael,

wieso denn das? Wer wird denn das Passwort in den Cookie hinein schreiben?

Ich nicht, Du nicht, Sven nicht, aber der, der die Frage gestellt hat, schon.

PHP transportiert seine Session-Informationen allerdings vermutlich im URL und deshalb sind diese Informationen nicht nur in allen Logs, sondern vor allem auch in Referer-Headern enthalten!
Nichts von beidem ist der Fall, wenn Cookies eingesetzt werden.

Nein, PHP transportiert die Session-Informationen in der URL *oder* im Cookie, je nachdem, was der Benutzer versteht. Das funktioniert so: beim session_start wird erst mal das Cookie gesetzt. Falls in den Cookies keine Session-ID nicht auftaucht, wird davon ausgegangen, dass der User keine Cookies mag. Dann werden URLs automatisch umgeschrieben. (sofern url-rewriting aktiviert ist) Wenn der Benutzer Cookies akzeptiert, dann wird die URL halt nur beim ersten Mal umgeschrieben, beim zweiten mal nicht. Ich persönlich schalte URL-Reweriting aber lieber per ini_set vor session_start aus, da ich den Server nicht unnötig belasten will. Die Schreibarbeit bei den Links lohnt sich, denn wenn PHP jedesmal vor der Auslieferung die Seite parsen muss, kostet das wirklich Rechenpower und Zeit. Vor allem aber ersetzt das URL-Rewriting AFAIK nicht so sonderfälle wie Location-Header o.ä.

Zum Referer-Problem: GMX zum Beispiel schaltet noch eine Seite davor, bevor man auf einen Link klickt, damit gerade so etwas vermieden wird. Dass das aber auch Nachteile im Bereich Datenschutz hat, ist klar. Vielleicht wäre es eine Lösung, die Seite nur davorzuschalten, wenn im _aktuellen_ Query-String des Scripts, das den Link ausgibt, die Session-ID vorkommt - und wenn sie nicht vorkommt, dann ist der Referer auch kein Problem.

Grüße,

Christian