nicht angemeldet
Meine unvollständigen Anmerkungen:
Somit erkennt mich der Server und schickt mir die Ressource 'foo.php' inclusive aller Werte/Variablen des dieser Session dazugehörenden Arrays '$_SESSION'. Habe ich das soweit richtig verstanden?
Nein, die Werte aus $_SESSION werden nicht automatisch mitgesendet.
Das '
htmlspecialchars()' ist eine Sicherheits-Absicherung gegen bösartige Angriffe.
Nein, es wandelt nur Zeichen um die im HTML-Kontext kein HTML sein sollen, siehe auch htmlentities().
3.) Gegen welche Art von Angriff bzw. Mißbrauch schütze ich mich eigentlich durch die verwendung des '
htmlspecialchars()' beim Anhängen der SID an eine URL?
Gegen keine Art.
4.) Bleiben wir bei meiner Konfiguration. Es wird nur mit Cookies gearbeitet - und nehmen wir weiters an, der Browser des Users läßt Cookies zu. Das bedeutet, um bei obigem Beispiel zu bleiben, dass die nächste Seite als 'nextpage.php?' aufgerufen wird. Mich nervt dieses nun sinnlose Fragezeichen am Ende der URL sehr. Muß ich damit leben oder kann ich den Code irgendwie so abändern, dass nur 'nextpage.php' aufgerufen wird, wenn Cookies akzeptiert werden und die SID somit im Header mitgesendet wird?
Natürlich, finde raus ob Cookies akzeptiert werden und füge an die url nur dann was an, wenn dem nicht so ist.
5.) Nicht verstanden habe ich das Beenden einer Session. Wenn ich noch vor dem '
session_start()' ein 'session_set_cookie_params('3600');' setze - was bedeutet das genau? Dass nach 1 Stunde alles weg ist, ...
Das ist ein Cookie-Parameter, der hat mit der Session auf dem Server unmittelbar nichts zu tun, er bestimmt nur die _gewünschte_ Lebensdauer des Cookie.
Und was genau bedeutet der Parameter 'session.cache_expire' in der php.ini, der bei mir standardmäßg den Wert '180' hat? Das hat doch auch was mit der Dauer der Gültigkeit zu tun, oder? Also die Beendigung und Dauer einer Session ... das habe ich noch nicht ganz verstanden.
Der ist für die Lebensdauer der Session (auf dem Server) zuständig.
6.) ... bin ich auf der sicheren Seite oder ist Arbeiten mit Sessions sehr gefährlich?
Das hängt grundsätzlich maßgeblich davon ab, was für Daten du in der Session verwendest und was Du anhand der Session tust. Einstellungen für die benutzerspezifische Darstellung der Seite sind weniger kritisch als der Zugang zum Adminbereich. Solange ich so eine Frage wie Du sie stellst stellen müßte, benutze ich Sessions nur in einer Weise, daß nichts was damit passieren kann schädlich sein kann.