Hallo Danke für die Antwort,

also register_globals ist an (hab ich so geregelt...).

Das Prüfen auf eine URI wollte ich mir ersparen, da es eigentlich nicht relevant ist. Der Nutzer bekommt höchstens eine Fehlermeldung im Browser.

Die Frage ist aber immer noch, wie es um meine Header Informationen bestellt sind?

Ist meine Session ID (übergebe ich immer per GET Parameter) evtl. ausspionierbar?

Gruß
Michael