[php] Sessions nicht sicher?

[Christian Froehler]

Hartmut Holzgraefe wrote:
> >
> > Ich klicke auf PHP_SELF-Link aus Deinem Beispiel, selecte
> > irgendeienen Bookmark bzw. direkt in der URL-Zeile (altavista),
> > und das war's - Altavista Administratoren haben aus meinen
> > Referer die SESSID. Oder?
> 
> ja, aber die session-id wird nicht akzeptiert, wenn
> sie nicht vom konfigurierten referer kommt ...

ja, aber wer schlau genug ist, die Session-ID herauszufinden, kann auch
den Referer nach seinem Geschmack verändern. Der entsprechende Eintrag
in php.ini macht Sessions also nur ein kleines Bisschen sicherer.

mfg
Christian