Hallo,
wie manche wissen hatte ich das Problem, das PHP die PHPSESSID an die URL hängt, wenn der Server noch keinen Cookie gesetzt hatte.

Wenn man jetzt mit der PHPSESSID eine andere Seite auf dem Server besucht hatte, so wurde die URL (ink. SID) in einen Logfile gespeichert.

Jeder konnte dann die PHPSESSID sehen und sich so ins Admin Menü einklinken.

Wie haben viel versucht und hier kommt die Lösung.

Also mein Logfile frag die URL so ab:

$site = $_SERVER['REQUEST_URI'];

Das sieht ca. so aus: index.php?PHPSESSID=123...

Diesen Wert frage ich per GET ab:

$sid = $_GET["PHPSESSID"]

Dann lösche ich ihn

$site = str_replace("?PHPSESSID=$sid","",$site);

Und trage $site in den Logfile ein.

Eigentlich einfach, oder?

MFG
Andavos