Hello,

Das Verfahren ist auch nur dann sinnvoll, wenn man session.use_only_cookies auf true gesetzt hat. Dann geht jeder Request mit dem frischen Cookie raus.

Angenommen man ist auf Seite A, öffnet Tab B und Tab C in neuen Tabs, recht schnell hintereinander, dass weder B noch C geladen sind. Dann wird einer der Tabs versagen, da er mit der falschen Session anfragt.

(Irgendwie kommt mir das bekannt vor)

Das sollte aber nicht passieren, da der Browser immer den letzten Cookie gespeichert hat für die Domain oder einen Teil davon, je nachdem, was der Anbieter vorgeschlagen hat.

Nur, wenn Session-Informationen noch sonstwo versteckt sind und der Angefragte (der Host des Request-Auswerters) eventuell dubiose Dinge damit treibt, geht das schief. Dubiose Dinge könnten sein, wenn er die eintreffenden Session-IDs in $_POST, $_GET und $_COOKIE selber auswertet, oder aber die Reihenfolge GPC

http://www.php.de/wiki-php/index.php/Request
http://de1.php.net/manual/en/ini.core.php#ini.variables-order

verändert hat, wird es kritisch.

Man kann eine Session sonst so trimmen, dass sie nur auf den sogenannten "Session-Cookie" hört.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg