Hi,

Beliebte Standardeinstellungen sind:

session.use_cookies         On On
session.use_only_cookies Off Off
session.use_trans_sid         0 0

Mmmh, session.use_trans_sid = 0 ... schon mal gehoert ...

PHP.net meint dazu:
Hinweis: In PHP 4.1.2 oder darunter wird sie durch compilieren mit --enable-trans-sid aktiviert. Ab PHP 4.2.0 ist das Feature trans-sid immer eincompiliert. URL-basiertes Session-Management hat im Vergleich zu Cookie-basiertem Session-Management zusätzliche Sicherheitsrisiken. Benutzer können zum Beispiel eine URL, die eine aktive Session-ID enthält, per Email an Freunde schicken oder in ihren Bookmarks speichern und immer mit der selben Session-ID auf Ihre Seite zugreifen.

Mir is klar, dass wenn ich mit output_add_rewrite_var das ganze mache, letzendlich das selbe mache, aber zumindest is die Session-ID nicht in der URL sichtbar.
Mag sein, dass das so auch nicht sichtbar ist, kann das im Moment nicht testen ...

Ich wollte es Dir nach Martins Einwurf auf mein "mit verdeckten Methoden geht es nicht" erst posten, aber dann dachte ich darüber nach, dass ich vorher lieber noch die Sicherheitslücke, die ich darin ahne, überprüfen wollte. Ich bin mir nämlich nicht sicher, ob ausschließlich die Links und Action-Attribute für die eigene Domain von PHP umgeschrieben werden, oder auch solche, die auf Fremdseiten verweisen.

Naja, vom Prinzip duerfte es ja aehnlich laufen wie bei dem von mir benutzten output_add_rewrite_var().

PHP.net sagt da:
Bitte beachten Sie das nur relative URLs, nicht aber absolute wie bei  http://example.com/... automatisch erweitert werden.

Sollte also passen, oder?

Werd mir das spaeter ansehen ...

Danke, auch fuer weitere Ideen/Meinungen