Hello,

1&1 hat da mal fast das zehnfache genommen. Was sie jetzt nehmen fürs GByte weiß ich allerdings nicht.

1,5Cent fürs MB (nicht GB!) Da komme ich aber nie hin.... Meine Seite wird nicht so extrem besucht.

Dann nehmen sie immer noch 10mal soviel, wie ich momentan bezahle.

Nochmal zurück zum eigentlichen Thema:

Kann man von aussen via GET auf die Var $_SESSION zugreifen bzw. Werte überschreiben?

Auf $_SESSION nicht. dafür ist das Array ja da. Und da liegt ja auch der eigentliche Sicherheitsgewinn der Bereichstrennung. Session-Variablen landen nicht mehr in den einfachen Vars, wo sie durch ?var=neuerWert überschreiben werden könnten...

Das hing früher praktisch nur von der Wiederherstellungsreihenfolge ab:

variables_order EGPCS EGPCS

heißt: Lade in der Reihenfolge:

• Environment
• Get
• Post
• Cookie
• Session

variables_order string
Gibt die Reihenfolge der EGPCS-Variablen (Environment/Umgebung, GET, POST, Cookie, Server) beim Parsen an. Der Standardwert ist "EGPCS". Setzen Sie z.B. diese Option auf "GP", so wird PHP alle Umgebungs-, Cookie- und Server-Variablen ignorieren, außerdem werden alle GET-Variablen mit POST-Variablen überschrieben, wenn sie den gleichen Namen haben.

http://de.php.net/manual/de/configuration.directives.php

Wenn man die Sessionvars VOR den $GET wiedrgeholt hat, dann jonnte man das Passwort des Servers besser gelich im Fernsehen ansagen lassen.

Jetzt landen die Sessionvariablen garantiert in $_SESSION und Du kannst ja mal versuchen, das von Außen zu überschreiben. Gibt nen ganz witzigen Effect:

http://maschine.domain.tld/script.php?_SESSION=hallo

Liebe Grüße aus http://www.braunschweig.de

Tom