Hallo Wolfgang,

Wenn in der php.ini die Option "session.use_only_cookies" aktiviert ist, sollte PHP doch eigentlich nicht auf die Weitergabe der Session-ID per URL anspringen. Zumindest geht das aus allen Beschreibungen hervor, die ich bisher zu diesem Thema gelesen habe...

Ja, allerdings erst ab PHP 4.3.0. (laut Doku)

Trotzdem reagiert PHP bei mir nicht auf eine Änderung und akzeptiert weiterhin diese Form der Übergabe.

Achtung: use_trans_sid wird durch diese Option _nicht_ ausgeschaltet. Es wird lediglich verhindert, dass session-IDs über URL- oder POST-Parameter eingelesen werden. Du musst session.use_trans_sid schon noch zusätzlich deaktivieren, damit die Ausgabe die Session-ID auch nicht enthält.

Viele Grüße,
Christian