Hallo,

Ich würde, mit meinem leider zu geringen Wissen, behaupten, dass es sinnvoll wäre, die Session ID nicht sichtbar in der URL zu übertragen, weil dies ein Sicherheitsrisiko darstellen könnte, wie auch im Manual beschrieben.

inwiefern ein Sicherheitsrisiko? Ich halte es allenfalls für einen URL-kosmetischen Makel. Denn die SID wird in jedem Fall unverschlüsselt übertragen, kann also immer abgegriffen und/oder manipuliert werden.

Und wie wird die Session ID übertragen, wenn sie nicht in der URL angezeigt wird oder per Hidden Input übertragen wird?

Überleg mal, welche Möglichkeiten hast du denn dann noch? Nur noch per Cookie. Soweit ich weiß, ist es die Defaulteinstellung von PHP, eine SID per Cookie zu übertragen. Nur wenn das fehlschlägt (der Besucher keine Cookies akzeptiert), wird sie stattdessen als URL-Parameter übertragen.

In beiden Fällen steht sie, wie gesagt, unverschlüsselt im HTTP-Header.

Ciao,
 Martin