Moin!

Die Einstellung use_only_cookies müsste dann eben in ALLEN Session-basierten Skripten so ergänzt werden, wenn ich das richtig seh?

Nö. Ein:

php_flag session.use_only_cookies on

in einer Datei namens .htaccess in jenem Verzeichnis für welches (inkl. der enthaltenen Unterverzeichnisse) dieses gelten sollte erledigt da ganze sauber genug. Vorsaussetzung ist, dass der Server dieses beachten darf (siehe httpd.conf: allow override)

(Ausschlaggebend sind ja nicht die Sessiondaten selber, sondern die Tatsache, dass eine Session geführt wird für die grundsätzliche Übertragung der Session-ID, google kann ja nun nicht wissen, welches Skript die Session-Daten generiert, dazu müsst es sich ja per BrutForce einloggen...? ;) )

mit session_start() wird eine neue Sitzung genau dann gestartet, wenn noch keine (gültige) existiert.

Akzeptiert der Browser keine Cookies versucht PHP an alle URIs eine session-Variable ranzuhängen.

Ein

~> grep session /etc/php/apache2/php.ini

(oder wo auch immer die Deine ist) sollte Dir mehr sagen.

(Grep und anderes brauchbares Zeug  für Windows gibt es hier: http://unxutils.sourceforge.net/ )

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®