hi,

dann hast du wahrscheinlich bei jedem deiner Scripte am Anfang eine Abfrage ob der Key im Cookie (via POST übertragen schätze ich) irgendwo in deiner DB verknüpft mit einer UID i.O. ist?!

die Request-Method GET oder POST spielt bei meinen Sessions absolut keine Rolle.

Die Abfrage ob die Session gültig ist, beschränkt sich lediglich darauf, ob der Key Clientseitig == Serverseitig vorhanden ist.

Hier eine Perl-Funktion, die einen sehr eindeutigen Key erzeugt:

sessionid generieren

sub initid{
 # salts erzeugen
 my @salts = ("a".."z");
 shuffle(@salts);
 my $salt = join "", @salts;

# und nun crypten
 my $zufall = crypt($salt,time.$$);
 return $zufall;
}

-- Hotte