[PHP5] Problememit SID (sesion)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [PHP5] Problememit SID (sesion)

    Hallo, ich habe mir ein Login System mit Sessions geschrieben.

    Code:
    session_name("sid");
    session_start();
    $session[hash] = session_id();
    Jetzt habe ich ein Problem beim Validieren der Seite.
    Die komplette Seite ist in XHTML 1.1 geschrieben.

    Wenn ich die Seite durch den Validator nehme bekomme ich Fehler wegen der Session.
    Und zwar knallt er mir hinter jeden form Tag und Link die Session obwohl ich das so nicht in den Templates stehen habe.
    Ich habe
    Code:
    <a href="kontakt.php"
    und er macht allein
    Code:
    <a href="kontakt.php?sid=946a871c0f79ec7a3bc6d2e626759b6c"
    ich habe
    Code:
    <form method="post" action="products.php">
    und er macht
    Code:
    <form method="post" action="products.php">
    <input type="hidden" name="sid" value="946a871c0f79ec7a3bc6d2e626759b6c" />
    wo nimmt er das her und wieso setzt er es falsch?
    Normal müßte ich doch hinter jeden Link ?sid=$sesion[hash] schreiben.

    Kann da jemand helfen das ich meine Seite Valid bekomme, danke.

  • #2
    Dann scheint session.use_trans_sid in der php.ini aktiviert zu sein. Das bedeutet, dass dein Session-Handling über die URL passiert und nicht über Cookies. Entsprechende Einstellungen in der php.ini können das ändern. Siehe Session Funktionen in der Online Doku.

    URL-basiertes Session-Management hat im Vergleich zu Cookie-basiertem Session-Management zusätzliche Sicherheitsrisiken. Benutzer können zum Beispiel eine URL, die eine aktive Session-ID enthält, per Email an Freunde schicken oder in ihren Bookmarks speichern und immer mit der selben Session-ID auf Ihre Seite zugreifen.
    Zuletzt geändert von Griecherus; 25.01.2007, 15:40.
    Nieder mit der Camel Case-Konvention

    Kommentar


    • #3
      das wird vom parser erledigt und nennt sich trans-sid

      ini_alter("session.use_trans_sid", 0); im script versuchen zu setzen und es damit abzuschalten.
      mfg

      Kommentar


      • #4
        Danke das ist es, habe meinen Hoster angerufen und es ist an.
        Man kann es mit einer .htaccess unterbinden.

        Danke für die Hilfe.

        Kommentar

        Lädt...
        X