Versuche gerade eine (naive) abwehrmethode gegen session fixation zu implementieren (in ein login system).

Dazu gibt es ja die funktion session_regenerate_id(). Es wird empfholen bei jedem user-restriction-level-change einen session_regenerate_id zu machen (zB beim einloggen).
Nur was hält mich davon ab, die session id bei jedem seiten aufruf zu erneuern? Hab das mal bei einem scirpt getestet wo als erste zeile session_regenerate_id() steht (also eigentlich 2te da in der ersten session_start steht). Das login system funktionierte weiter.

Verstehe also nicht ganz wie das funktioniert und wie ich das am besten einsetzen sollte

(Übrigens man sollte immer session_regenerate_id mit dem parameter "true" aufrufen damit die alten ids gelöscht werden)

Interessanterweise hauts mich nicht raus wenn ich den back button drücken. Bei mir wird die session id aber mit cookie weitergegeben und wird nicht an der url drangehängt.

Dann gehts wahrscheinlich nicht. Das Session_regenerate_id() auf jeder seite war nur exprimentel. Hab jetzt nurmeher eines beim einloggen/ausloggen und wenn mittels cookie wiedereingeloggt wird (min. alle 20min).

Dh eine Session ID ist max. 20 min gültig, kurz genug um eine gewisse sicherheit zu gewährleisten.

Danke - werd mir was überlegen, damit einfach keine sessions von GET/POST aktzeptiert werden

Übrigens wenn man aufgrund von wirren code session_regenerate_id() mehr als einmal aufruft, verweigert der browser (zumindest FF3) anscheinend mehr als ein PHP Session cookie auf einmal und alle links bekommen eine die session id nachgestellt.

Dh im Cookie is dann noch eine alte session_id und nur in den links ist die neue id.