Hi,

also register_globals ist an (hab ich so geregelt...).

das wird üblicherweise als Mangel betrachtet.

Das Prüfen auf eine URI wollte ich mir ersparen, da es eigentlich nicht relevant ist.

Doch, ist es. Du füllst den Wert in einen wichtigen HTTP-Header.

Der Nutzer bekommt höchstens eine Fehlermeldung im Browser.

Du kannst nicht wissen, ob es überhaupt einen Nutzer bzw. einen Browser gibt, geschweige denn wie viele Systeme bis dahin passiert wurden-

Die Frage ist aber immer noch, wie es um meine Header Informationen bestellt sind?

Unsicher. Vergiss das gleich. Benutze das, was Du vermeiden wolltest - oder lasse noch besser einem Link folgen.

Ist meine Session ID (übergebe ich immer per GET Parameter) evtl. ausspionierbar?

Die ID? Ja, sicher. Die Daten dahinter? Das hängt davon ab, welche Zugangsmöglichkeiten Du anbietest - irgendwo im Universum Deiner Site.

Cheatah