Hallo!

Ich habe eine Website laufen, die mit Sessions arbeitet. Die Session wird durch session_register('xyz') gestartet. Es läuft auch alles einwandfrei. Bei ersten Aufruf einer beliebigen Seite der Website wird in der Adresszeile vom Browser aber die URL plus der Variable PHPSESSID plus Wert angezeigt, obwohl die nie aktiv vom Skript an die Adresszeile übergeben wird, auf weiteren Seiten erscheint die ID dann nicht mehr, auch nicht, wenn ich die erste Seite wieder besuche.

Die Session wird bei Aufruf jeder Seite in gleicher Weise registriert (wenn man das so sagen kann), weil die Website mit einer PHP-Layout-Vorlage arbeitet, in die der Content der einzelnen Seiten includet wird. Der Sessionaufruf wird schon in der Vorlage ausgelöst, bevor der Content geladen wird.

Zugegebenermaßen blicke ich durch das ganze technische Verfahren der Session-Abwicklung nicht ganz durch, mit Cookies und so, daher hat mir die PHP-Referenz auch nicht weitergeholfen. Alles etwas zu kryptisch für mich. Mittlerweile musste ich nun auch feststellen, dass sogar in Suchmaschinen Seiten dieser Website mit der Session-ID als Suchergebnis angezeigt werden. Ich weiß zwar nicht, ob das wirklich ein Sicherheitsrisiko darstellt, aber ich finde das sehr merkwürdig und würde das gerne abstellen, habe aber keine Ahnung wie. Hab das bei Suchmaschinenergebnissen auch noch nie gesehen. Irgendwas muss ich da falsch gemacht haben. Kann mir da jemand weiterhelfen???

kurze Frage: Brauchst du überhaupt Sessions?

---
Arbeit ist das Feuer der Gestaltung. - Marx

In der Tat, denn es werden diverse Benutzereingaben gespeichert. Ich habe die Skripte zur Veranschaulichung des Problems mal vereinfacht und zur Ansicht hochgeladen.

Hier kann man's testen: http://www.gauranga.de/problem/