echo $begrüßung;

Habs jetzt im Login-Skript mal so eingeflickt:
  session_start ( );
  ini_set( 'session.use_only_cookies', 1 );

In der Reihenfolge ist es nicht besonders sinnvoll. Du startest die Session, damit läuft der übliche Mechanismus los, also auch die Keks-Behandlung. Danach stellst du einen ini-Parameter um. Diese Aktion hat aber keine direkte Auswirkung auf die Session. Erst beim nächsten Schritt, der was mit der Session zu tun hat, könnte er berücksichtigt werden. Nach einem Session-Start kommen aber meist nur noch Zugriffe auf $_SESSION. Und die ändern an den bereits von sesison_start() gesendeten Header nichts mehr.

echo "$verabschiedung $name";

Moin!

Die Einstellung use_only_cookies müsste dann eben in ALLEN Session-basierten Skripten so ergänzt werden, wenn ich das richtig seh?

Nö. Ein:

php_flag session.use_only_cookies on

in einer Datei namens .htaccess in jenem Verzeichnis für welches (inkl. der enthaltenen Unterverzeichnisse) dieses gelten sollte erledigt da ganze sauber genug. Vorsaussetzung ist, dass der Server dieses beachten darf (siehe httpd.conf: allow override)

(Ausschlaggebend sind ja nicht die Sessiondaten selber, sondern die Tatsache, dass eine Session geführt wird für die grundsätzliche Übertragung der Session-ID, google kann ja nun nicht wissen, welches Skript die Session-Daten generiert, dazu müsst es sich ja per BrutForce einloggen...? ;) )

mit session_start() wird eine neue Sitzung genau dann gestartet, wenn noch keine (gültige) existiert.

Akzeptiert der Browser keine Cookies versucht PHP an alle URIs eine session-Variable ranzuhängen.

Ein

~> grep session /etc/php/apache2/php.ini

(oder wo auch immer die Deine ist) sollte Dir mehr sagen.

(Grep und anderes brauchbares Zeug  für Windows gibt es hier: http://unxutils.sourceforge.net/ )

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®