phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] SID-anzeige -moeglicherweise bug?

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Sam Apr 14 08:15:31 CEST 2007

Vorherige Nachricht: [php] SID-anzeige -moeglicherweise bug?
Nächste Nachricht: [php] print_r Session
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Hallo,

Am Samstag, 14. April 2007 02:56 schrieb balrok:
> seit php4 oder so wird die konstante SID nur gesetzt, wenn der
> benutzer cookies deaktiviert hat
> jetzt vor kurzem habe ich festgestellt, dass sie auch erstellt wird,
> wenn eine neue session gestartet wird (ich lös die session mit:
> session_unset();session_destroy(); auf und starte mit dem nächsten
> klick gleich wieder eine neue)
>
> da ich der meinung bin, dass session-ids in der url ein
> sicherheitsleck sind (wenn benutzer sich urls austauschen wird ja die
> sessionid auch ausgetauscht), sollte die SID auch nicht gesetzt sein
> wenn eine neue session erstellt wurde..
> nur bin ich mir nicht sicher, ob ich das gleich als bug melden sollte
> oder ob es doch ein feature oder so ist?

das hat mit der PHP-Konfiguration zu tun. Guck Dir mal die folgende 
Seite im Handbuch an:

	http://de3.php.net/manual/en/ref.session.php

In Deinem Fall sind vor allem die Einstellungen für session.use_cookies, 
session.use_only_cookies und session.use_trans_sid relevant. :-)


Viele Grüße
Lutz

Vorherige Nachricht: [php] SID-anzeige -moeglicherweise bug?
Nächste Nachricht: [php] print_r Session
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive