Tach!

Das ist ja eine ganz böse Sache. Ich habe das eben auf PHP 5.2.9 auf Xampp ausprobiert. Da kann man die sessions hinlegen, wo man will, also auch ins Verzeichnis eines anderen Users.

Wenn man dafür Schreibrechte hat.

Auslesen mit glob(), fopen(), usw, kann man sie aber scheinbar nicht. Da greift ja auch noch die Open_Basedir-Restriktion.

Wie es das Ticket beschreibt. open_basedir allein ist jedenfalls kein Sicherheitskonzept.

dedlfix.