Hallo Wolfgang,

Mein Problem ist ja aber nicht, daß PHP selber eine Session-ID an die URLs hängt, sondern daß es immer noch die Übergabe der ID per GET _akzeptiert_!

Welche PHP-Version? Bei mir (PHP 4.3.2, Debian GNU/Linux sid, selbstkompiliert) tritt dies nämlich nicht auf, ich habe das ganze Verhalten extra vor dem Verfassen meines vorigen Postings noch einmal überprüft: (weil ich mir selbst nicht so ganz sicher war) Wenn ich session.use_only_cookies aktiviert habe, dann werden _keine_ Session-IDs über GET mehr akzeptiert.

Hast Du in Deinem PHP-Script mal mit ini_get die Einstellung ausgegeben, um zu sehen, ob sie überhaupt richtig greift?

Viele Grüße,
Christian