Hi!

Nein, es wandelt nur Zeichen um die im HTML-Kontext kein HTML sein sollen, siehe auch htmlentities().

Nö, htmlentities() behandelt zwar auch die HTML-eigenen Zeichen, es dient aber vor allem zur NCR-Erzeugung, gehört also eher zum Thema Zeichenkodierung. Für die HTML-Kontext-Behandlung ist htmlspecialchars() ausreichend.

3.) Gegen welche Art von Angriff bzw. Mißbrauch schütze ich mich eigentlich durch die verwendung des 'htmlspecialchars()' beim Anhängen der SID an eine URL?
Gegen keine Art.

Und was ist mit HTML- und Javascript-Injection, oder allgemein gesagt, alles was im Browser ausgeführt werden kann? Der Angriffsschutz ist in meinen Augen jedoch eher eine Nebenwirkung. Man braucht die Behandlung, um syntaktisch korrekte Daten zu erzeugen. Diese sind dann aufgrund ihrer Korrektheit sicher.

Und was genau bedeutet der Parameter 'session.cache_expire' in der php.ini, der bei mir standardmäßg den Wert '180' hat? Das hat doch auch was mit der Dauer der Gültigkeit zu tun, oder? Also die Beendigung und Dauer einer Session ... das habe ich noch nicht ganz verstanden.

Der ist für die Lebensdauer der Session (auf dem Server) zuständig.

Das widerspricht meinem Rechercheergebnis. Ich fand dazu bei session_cache_limiter(), dass es sich um HTTP-Header handelt, also nur die Lebensdauer in Web- und Browser-Caches vorschlägt.

Lo!