Hallo Markus,

session.use_cookies On On
session.use_only_cookies Off On
session.use_trans_sid 1 0

Warum steht hier On On, Off On, 1 0 usw? In meiner php.ini gibt es keine derartigen Einträge. Allerdings kann dies eine Syntax sein, die mir nicht geläufig ist. Sollte es darüberhinaus nicht
session.use_cookies = 1
session.use_only_cookies = 0
session.use_trans_sid = 1
heißen?

Das sind Auszüge der Ausgabe von phpinfo(), nicht der php.ini selbst. Jede Option hat einen lokalen und einen Haupt(Master)-Wert, deshalb zwei.

Desweiteren will ich dir zwar nicht in deine Entscheidung dreinreden, SessionIDs per URLs zu übergeben, ich würde das aber nicht tun. Wenn so eine URL per Suchmaschine indiziert wird, könnte jemand diese Session "hijacken".

Das Login-Skript sollte nur der Startpunkt sein. Ich wollte auch zusätzliche Mechanismen einbauen, delche die Sicherheit weiter ausbauen. Ich stimme dir völlig zu, dass die Weitergabe sehr unsicherer als per Cookie ist.

Und jemand, der seine Cookies deaktiviert, hat eben Pech gehabt. Die Sicherheit deiner Besucher sollte dir in diesem Fall einfach wichtiger sein, als irgendwelche Besucher, die meinen Cookies deaktivieren zu müssen.

Ja, aber leider sind das so viele Nutzer...
Für das Login-Skript werde ich es vielleicht wirklich nur bei Cookies lassen; auf jeden Fall würde es mich aber interessieren, was hier nicht läuft.

Beste Grüße
David