So das ist jetzt das letzte zu dem Thema 
-> php configuration session.use_only_cookies = On mit dem Stichwort dürfte das ganze klarer werden
Was ist jetzt mit meinem Ansatz, real ? 
hallo…
ich lese garade ein buch über sicher webanwenungen.
Da steht drin das es am besten ist wenn man die Session ID bei jedem aufruf (bzw bei wichtigen aktionen) ändert.
Ausserdem kann man den UserAgent in eine Session Variable speichern und bei jedem aufruf testen ob es noch der gleiche UserAgent ist und fals nicht die Session “zertören”
lg max
Ich werds so machen, damit die Session mit der IP verglichen wird, und wenn sie nicht gleich muss der überprüfungscode im cookie passen, oder kann da ein problem auftreten bzgl. proxyserver etc.
wo sind denn hier die michis etc. 
