Originariamente inviato da webstyler

cmq , escludendo la prima pagina , anche omettendo session_start la sessione con tutte le sue variabili viene mantenuta , questo perché viene passato tutto sui cookie , e quindi dovrebbe funzionare .
Ciao,
la sessione rimane valida finchè il cookie non scade e/o il file con i dati di sessione supera il session.gc_maxlifetime:
dov'è il problema? Il vero pericolo (relativo) è quando l'id di sessione viene passato tramite gli url, in teoria qualcuno potrebbe leggerselo e andare su un'altro pc e interferire con la mia sessione. Comunque il rischio si può limitare in vari modi.


Inoltre non ho capito se è possibile in qualche modo "infiltrare" le variabili di sessione , cioé per esempio , settare clandestinamente una variabile $_session[userid] ?
Oppure sono sicuro che se la variabile c'è , è "original" ?
Bye & Thks
Se nel php.ini "register_globals = Off" dubito sia possibile "infiltrare".... e anche se fosse possibile, senza conoscere l'id di sessione non si può fare nulla.
Piuttosto sono abbastanza convinto che uno abile possa, all'interno di una LAN, intercettare anche i dati relativi alle sessioni. Ma per questo dovresti chiedere in "Virus e sicurezza informatica"



P.s carino il tuo sito!