PHP-Session-ID und SSI

Die meisten Website-Betreiber möchten PHP-Session-IDs verstecken - meist vor Suchmaschinen. Das Anhängen der Session-ID an URLs und Formulare wird deshalb von vielen deaktiviert und man verlässt sich auf die Weitergabe der Session-ID per Cookie. Das ist auch kein Problem, solange der Besucher der Seite tatsächlich Cookies aktiviert hat.

Problematisch wird es, wenn ein PHP-Script per Server Side Includes (SSI) eingebunden ist. Dann nämlich ruft nicht der Browser die PHP-Datei auf, sondern der Server und dieser fügt dann die Ausgabe der PHP-Datei in die SSI-Datei. Resultat ist, dass der Cookie gar nicht beim Browser ankommt und Funktionen, die sich auf eine aktive Session verlassen, nicht funktionieren.

Ein ähnliches Problem gibt es mit Iframes. Je nach Einstellung lässt der Browser Cookies von Dritten nicht zu. Wenn zum Beispiel scriptblogger.de die Seite example.com per Iframe einbindet, kann es sein, dass der Cookie von example.com vom Browser abgewiesen wird. Auch hier muss man die Weitergabe der Session-ID per URL oder Formular (re-)aktivieren.