Hello,

Die Session-ID in der URL mitzuschleifen ist eine ganze schlechte Idee, das ebnet alle Wege für Session-Hijacking. Der Nutzer muss nur einmal den Link aus der Adresszeile kopieren und in einem Forum teilen und schon nehmen alle Nutzer, die dem Link folgen, an der selben Session teil.

Klar, das wäre dann der Fall, wenn die Session-ID zeitlich unbegrenzte Gültigkeit hätte. Aber die kann man durchaus sehr kurz halten:

http://de3.php.net/manual/en/function.session-regenerate-id.php

Der Timeslot für eine gültige Session-ID schrumpft damit auf die Zeit zwischen zwei Requests des Sessioninhabers auf Ressourcen innerhalb des Sessions-Realms.

Das Verfahren macht nur dann Probleme, wenn man Sessions-Daten zwischen mehrerten Servern / Hosts austauschen muss.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg