Hello,

So wie ich mich erinnere, war nur das Standard-Session-Verzeichnis frei von open_basedir-Restrictions, und das war /tmp

Sowie man einen session.save_path angegeben hat, griff die open_basedir-Restriction, was ja auch ganz vernünftig ist, da der session.save_path schon immer PHP_INI_ALL war. Da könnte der Scriptnutzer einer Modulversion seine Sessions ja sonst überall hinlegen. Außerdem gibt es überhaupt keinen Grund, warum ein Scriptnutzer die Sessions seines eigenen Accounts nicht auslesen können sollte.

Das ist ja eine ganz böse Sache. Ich habe das eben auf PHP 5.2.9 auf Xampp ausprobiert. Da kann man die sessions hinlegen, wo man will, also auch ins Verzeichnis eines anderen Users.

Auslesen mit glob(), fopen(), usw, kann man sie aber scheinbar nicht. Da greift ja auch noch die Open_Basedir-Restriktion.

Die anderen mir verfügbaren Versionen werde ich jetzt auch nochmal testen.

Und es gibt noch mehr Ungereimtheiten, habe ich gerade festgestellt. Na, schaun wir mal :-(

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg