[php] session-id's per POST uebergeben?

[Joerg Behrens]

----- Original Message -----
From: "Dennis Breithaupt" <dennisb_(at)_tetaworx.de>
To: <php_(at)_phpcenter.de>
Sent: Sunday, June 30, 2002 5:47 PM
Subject: Re: [php] session-id's per POST uebergeben?


> >[...]
> >DB> Ein hidden-Feld mit dem Namen session_name() und dem Value
session_id()
> >DB> fuer hier offensichtlich nicht zur korrekten Uebergabe der Session.
> >
> >Sollte aber. Pr�fe doch einmal, welche Daten da ankommen und ob das
> >die sind, von denen Du annimmst, da� sie ankommen sollten...
>
>
> Hallo Stefan,
>
> danke f�r deinen Tip.
>
> Ich hatte dieses getestet, jedoch nicht unter v�llig gleichen
> Vorraussetzungen:
>
> NICHT funktioniert hat die Variante per �bergabe als POST an eine andere
> Domain bzw. mit absoluter Pfadangabe (in Wirklichkeit ist es diesselbe
> Domain, da vom Apache ein Rewrite stattfindet)
>
> Funktioniert hat dann aber die Variante per �bergabe als POST an diesselbe
> Domain bzw. mit relativer Pfadangabe.
>
> Ist dieses Verhalten so normal? Wo h�tte ich das entnehmen k�nnen?

Ja, ist es. http://de.php.net/manual/de/ref.session.php
<zitat>
...Wenn PHP mit --enable-trans-sid kompiliert wurde, kann es dies
transparent machen. Wenn Sie diese Option aktivieren, werden relative URIs
automatisch ge�ndert, sodass sie die Session-ID enthalten....
</zitat>

PHP sieht es als Schutz an da es in den meisten Faellen nicht erwuenscht
wird das die SID nach aussen getragen wird. Denn dann wuerde der Request im
Logfile des fremden Webservers auftauchen und ein Session Hijacking
beguenstigen.

> Kann ich generell per POST nichts an eine andere Domain �bermitteln?
Natuerlich. Nur wird php halt ,wie dokumentiert, nicht automatisch eine SID
in das Formular einfuegen.

Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Stra�e 20            Fax: +49 931 903-3025