Tach!

Ich hab' das jetzt schnell ausprobiert und es funktioniert mit QSA einwandfrei - ich kann dir nicht sagen, wieso ich das anders mache, aber irgenswas hat damals gegen QSA gesprochen. Wenn ich das noch wüsste :)
Aber ich meine, dass es irgendwas mit dem Session-Handling von PHP zu tun hatte.

Die Session-ID wird wie jeder andere Querystring-Parameter auch behandelt. Also entweder hast du ein generelles Problem mit dem Querystring oder keins. So wie Toms Lösung und mein Vorschlag aussieht, wird der Querystring nicht weiter beeinflusst, nur einfach durchgereicht.

Es könnte problematisch werden, wenn - wie so oft zu sehen ist - die Pfadbestandteile in einen Querystring-Parameter umgeschrieben werden. Dann könnte man sich durch diese Umschreibung eventuell Bestandteile des Querystrings beinflussen, wenn man denselben Namen für einen Parameter (aus einem HTML-Formular oder die Session-ID) und einen umgeschriebenen Pfadteil verwendet.

dedlfix.