Hallo

Richtig wäre, wenn nur die Links und Actionattribute, die zur eigenen Domain gehören, manipuliert werden. Das ist aber bei JavaScript-Links wieder kritisch. Mit dem Cookie- oder Auth-Verfahren funktionieren die auch einwandfrei, mit transparenter Session-ID leider nicht.

Ähm, wie sieht bei dir ein externer bzw. interner Link aus? Links zu externen Seiten können nur absolut sein, womit die SESSION-ID dort nicht angehängt wird. Interne Links können relativ angegeben werden, um das PHP-seitige anhängen der SESSION-ID zu erzwingen. Das Zitat zur Sache hat dr.colossus ja schon gebracht (ziemlich am Ende des verlinkten Postings). Wo siehst du da das Problem?

Bin mir aber garnicht sicher ob ich das so lasse. Da ich php.ini-Einstellungen aendern musste, gefaellt mir das garnicht so.

Die notwendigen Ein- bzw. Verstellungen zu session.use_cookies, session.use_only_cookies und session.use_trans_sid können auch per ini_set vorgenommen werden. Man muss also nicht auf die -eventuell unerreichbare- php.ini zurückgreifen.

Tschö, Auge