Hi Tom!

Das meine ich nicht. Ich meine, wogegen "strip_tags()" genau schützen soll.

Vor allem, da SID intern vom Server erstellt wird, man also von Außen überhaupt keine Möglichkeit hat, darauf zuzugreifen. Gibts da etwa ein exploit?

Oh, man hat Zugiff, über

http://www.example.com/script.php?PHPSESSID=meine_boese_session_id

<?php
session_start();
echo session_id();
?>

das funktioniert. Ich bin da kein Fachmann, aber man kann darüber sicherlich so schöne Sachen wie <iframe...> oder irgendwelche Javascripte... einschleusen, die derjenige der auf den Link klickt dann abbekommt.

Wenn man strip_tags() drauf anwendet wird sowas halt rausgefiltert. Ist das die Gefahr? Oder gibt es noch was anders?

Grüße
Andreas

PS: bin gerade mit nem Celeron 433 und 64 Mb RAM online, mit Knoppix und KDE, das ist keine Freude... ;-)