[php] session-id's per POST uebergeben?

[Joerg Behrens]

----- Original Message -----
From: "Dennis Breithaupt" <dennisb_(at)_tetaworx.de>
To: <php_(at)_phpcenter.de>
Sent: Sunday, June 30, 2002 5:47 PM
Subject: Re: [php] session-id's per POST uebergeben?


> >[...]
> >DB> Ein hidden-Feld mit dem Namen session_name() und dem Value
session_id()
> >DB> fuer hier offensichtlich nicht zur korrekten Uebergabe der Session.
> >
> >Sollte aber. Prüfe doch einmal, welche Daten da ankommen und ob das
> >die sind, von denen Du annimmst, daß sie ankommen sollten...
>
>
> Hallo Stefan,
>
> danke für deinen Tip.
>
> Ich hatte dieses getestet, jedoch nicht unter völlig gleichen
> Vorraussetzungen:
>
> NICHT funktioniert hat die Variante per Übergabe als POST an eine andere
> Domain bzw. mit absoluter Pfadangabe (in Wirklichkeit ist es diesselbe
> Domain, da vom Apache ein Rewrite stattfindet)
>
> Funktioniert hat dann aber die Variante per Übergabe als POST an diesselbe
> Domain bzw. mit relativer Pfadangabe.
>
> Ist dieses Verhalten so normal? Wo hätte ich das entnehmen können?

Ja, ist es. http://de.php.net/manual/de/ref.session.php
<zitat>
...Wenn PHP mit --enable-trans-sid kompiliert wurde, kann es dies
transparent machen. Wenn Sie diese Option aktivieren, werden relative URIs
automatisch geändert, sodass sie die Session-ID enthalten....
</zitat>

PHP sieht es als Schutz an da es in den meisten Faellen nicht erwuenscht
wird das die SID nach aussen getragen wird. Denn dann wuerde der Request im
Logfile des fremden Webservers auftauchen und ein Session Hijacking
beguenstigen.

> Kann ich generell per POST nichts an eine andere Domain übermitteln?
Natuerlich. Nur wird php halt ,wie dokumentiert, nicht automatisch eine SID
in das Formular einfuegen.

Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Straße 20            Fax: +49 931 903-3025