Session-ID nicht an URL anhängen

[EuroCent]

Hallo habe folgendes Problem:

Ich möchte gern das die Session-ID nicht an URLs angehängt werden...

Wie kann ich dies anstellen?

Ich hab es schon versucht in dem ich ini_set('session.use_trans_sid', 1); mache

Ich habe aber allerdings bei mir in der Global.php dieses stehen:

<?php
session_start();
@ini_set('session.use_trans_sid', "1");
$sid = session_id();

//der Rest meines Scriptes
?>

Wie bekomm ich nun hin das mir die $sid nicht an die URLs anhängt wird auch wenn ich an die URLs beispielsweise: index.php?sid=$sid anhänge?

Ich möchte lediglich das nur das mir die Session-IDs verborgen bleiben um ein missbrauch eines Session-Scripting zu vermeiden?

Oder gibt es da eventuell erleichterte Variante wie ich es machen könnte?

 

[Kahmoon]

Das gleiche Problem hatte ich auch schon. Ich hab bei Google danach gesucht und Ende vom Lied war das es der automatische Fallback ist. Wenn der Browser keine Cookies annimmt wird die Session ID eben über die URL übergeben.

Ich wirke dem ganzen wie folgt entgegen.

#Security
ini_set('session.use_only_cookies',1);

Man kann zusätzlich natürlich noch mehr machen...aber das ist schon mal ein Anfang. Am besten wäre es jedoch Session jedesmal auf gültigkeit zu prüfen. (Zusammenhang mit IP oder Alter)

Franky

 

[ByeBye 182971]

also ich mache es auch so

normal übergebe ich die session mit nem cookie also nicht anhängen

habe aber session.use_only_cookies an. Wenn der User also kein Cookie erlaubt kommt hinten an die URL
anders wird es wohl kaum gehen...

 

[Gumbo]

Die session.use_trans_sid-Konfigurationseinstellung muss dafür deaktiviert und nicht aktiviert sein.

 

[CIX88]

Auf einen Server musste ich auch ini_set('url_rewriter.tags', ''); setzen, weil session.use_trans_sid nichts bewirkt hatte.

 

[EuroCent]

Also was genau muss ich nun machen damit die Session-ID egal wie garnicht angezeigt wird?

Und wie soll ich es verstehen mit deaktivieren und nicht aktivieren?

Laut php.net ist es standart deaktiviert also bin ich der meinung das dies dann angezeigt wird also mach ich statt 0 eine 1 fürs aktivieren? oder versteh ich das was falsch?

 

[Gumbo]

Mit dem von dir Genannten wird session.use_trans_sid aktiviert. Es müsste aber deaktiviert sein, damit die Sitzungs-ID nicht automatisch angehängt wird.

 

[EuroCent]

Deativiert war es ja vorher schon

Derzeit lasse ich an den URL wie index.php noch ein sid=$sid

Aber wie bekomm ich es hin das sich der User mit seinem Userdaten einloggen kann?
Wenn sich ein User einloggt bei mir auf der seite lass ich die session-id in die datenbank schreiben um zu überprüfen ob es sich um den User handelt der auch in der Datenbank steht.

Nur eben wie gesagt wenn ich die session-id nicht an die URL hänge dann ist ernie eingeloggt!

Und genau das möchte ich verbessern, also das der User einloggen kann ohne das ich extra die session-id an die URL anhängen muss

 

[Gumbo]

Dann sollte die Sitzungs-ID in einem Cookie gespeichert werden.

 

[EuroCent]

Naja das problem ist allerdings das nicht jeder Cookies aktzeptieren!

Gibt es da nicht eine einfache Lösung um Session und/oder Cookies zu wenden?

Also das man überprüft ob Cookies akteptiert werden und wenn nicht dann session?

Dann wäre die noch die Frage zu klären wenn ich es mit Cookies mach muss es dann auch in die Datenbank ein rein geschrieben werden oder ist es da egal?