[CIX88]

Diesmal muss ich auch mal wieder fragen ...

Auf einer Website XYZ wird mit SESSION gearbeitet.
Wird diese Seite erstmalig aufgerufen, wird bei allen Links automatisch die SSID angehängt.
Erst beim nächsten Klick auf einen Link ist dieser Anhang der SSID wieder weg.

Versuche mit session.use_trans_sid, um dies zu verhindern, brachten bisher keinen Erfolgt.
Hat jemand eine Idee, wie ich das generell verhindern kann, dass bei Links KEINE SSID automatisch angehängt wird ?

[dejan_spasic]

Hast du es schon mit der Direktive session.use_only_cookies versucht?

Zitat:

session.use_only_cookies specifies whether the module will only use cookies to store the session id on the client side. Enabling this setting prevents attacks involved passing session ids in URLs. This setting was added in PHP 4.3.0.

[CIX88]

Ne damit noch nicht.
Bei einen anderen Server konnte ich das nur über htaccess lösen.
Aber das geht nun auch nicht.

Danke für den Hinweis.

[Ben]

Ich hatte das Problem auch mal. Kann das jetzt gerade nicht austesten bzw. nachstellen.

Klappt das nun mit der Option, die Dejan vorgeschlagen hat?
Danke.

[CIX88]

Auf einen Server bisher nicht
Dort habe ich jetzt alle Varianten durch:

Code:

ini_set('session.use_trans_sid', 0);
ini_set('session.use_only_cookies', 0);

Bis dato habe ich eine Umleitung per Header:Location eingebaut, damit beim ersten Seitenaufruf die SSIDs verschwinden.
Was anderes viel mir jetzt nimmer ein.

Der Weg über htaccess, bringt mir nur Error-Fehler

Code:

php_value session.use_trans_sid 0

Widerum auf einen anderen Server geht das wunderbar.

[Ben]

Hm, müsste es nicht

PHP-Code:

ini_set('session.use_only_cookies', 1); 


sein?

[dejan_spasic]

Zitat:

Zitat von CIX88

Der Weg über htaccess, bringt mir nur Error-Fehler

Code:

php_value session.use_trans_sid 0

Widerum auf einen anderen Server geht das wunderbar.

Ich glaube es muss php_admin_flag bzw. php_admin_value lauten. In deinem Fall solltes es

Code:

php_admin_flag session.use_trans_sid 0
php_admin_flag session.use_only_cookies 1

lauten. 100% bin ich mir aber nicht sicher.

[dejan_spasic]

Zitat:

Zitat von Ben

Hm, müsste es nicht

PHP-Code:

ini_set('session.use_only_cookies', 1); 


sein?

Eigentlich schon...

[CIX88]

Zitat:

Ich glaube es muss php_admin_flag bzw. php_admin_value lauten

Nö, denn auf einen Server funktioniert das mit php_value session.use_trans_sid 0 wunderbar.
Aber das erwähnte ich ja oben bereits.

Das mit ini_set('session.use_only_cookies', 1); hatte ich auch ausprobiert, weil ich mir auch nicht sicher war, hatte aber auch nichts gepracht.

Jetzte teste ich das ganze schon auf unterschiedlichen Servern, und werde auch mal die Variante mit php_admin_flag testen.

EDIT:

Nochmal alles durchprobiert:

mit .htaccess:

php_value session.use_trans_sid 0

=> Internal Server Error

php_admin_flag session.use_trans_sid 0
php_admin_flag session.use_only_cookies 1

=> Internal Server Error

in der PHP-Datei:

ini_set('session.use_trans_sid', 0);
ini_set('session.use_only_cookies', 1);
session_start();

=> kein Erfolg

Ich glaube meine Umleitung mit Location war bisher am effektivsten

[robo47]

Zitat:

Zitat von CIX88

Ich glaube meine Umleitung mit Location war bisher am effektivsten

so komische Umleitungen können dir die Sumas vielleicht etwas krum nehmen

[CIX88]

Ja und unter bestimmten Bedingungen, sogar schlimmer.
Es gab mal ein Fall, wo fremde Seiten z.B. bei Google mit zu den eigenen Suchergebnissen gezählt wurde.
Eben genau mit solch einer Umleitung.

Aber das sollte nicht zutreffen, wenn die Umleitung innerhalb der eigenen Seite passiert.
Aber das werde ich auch mit beobachten.

[ex³]

Also ich hab in meiner .htaccess das auf "off" stehen und nicht auf 0 oder 1...wollt ich nur mal erwähnt haben,

php_flag session.use_trans_sid Off

[CIX88]

Ist das selbe in Grün.

[dsxs]

Die ini sets funktionieren bei mir perfekt. Überschreibt evtl. die php.ini im /etc/ die Einstellungen?

[CIX88]

Zitat:

Überschreibt evtl. die php.ini im /etc/ die Einstellungen?

Geht bei einen bestimmten Hoster nicht.
Sonst hätte ich das schon lange gemacht => logisch was sonst.