[php] Session-ID-Blues

[Wolfgang Huebner]

Hi,

ich muß Session-IDs durch ein Webangebot mitschleppen und zwar nicht nur
über Formulare mit post vars, sondern auch über normale Links. Zur Zeit
also:
<a href="einlink.php3?session=<?echo $sid;?>">
Das wäre soweit auch akzeptabel, weil die ID mit md5 und uniqid IMHO nicht
so einfach zu knacken ist. Aber wenn jemand diese Seiten verlässt, bekommt
der nächste Server die Session-ID als Referer mit. <schluck>. Die Sessions
werden nach 2 Stunden Untätigkeit zwar automatisch ungültig, aber wenn
jemand währenddessen in sein Serverlog schaut, kann er die Session ohne
Probleme übernehmen. :-(
Mir fällt momentan keine Lösung ein, kann mir aber vorstellen, daß ich nicht
der erste mit dem Problem bin.... jemand eine Idee?



ciao, Wolfgang
5 out of 5 cows say: eat mor chikin.