session.use_trans_sid en PHP5

session.use_trans_sid is stated as being changeable PHP_INI_ALL, but it is not changeable with ini_set until PHP 5.

Eso quiere decir que no podré hacer que mi PHP pase el SID por URL a partir de PHP5 !!!... ¿Existe otra forma de hacerlo?

Estaba usando:

Pero con PHP5 en mi PC no funciona. Simplemente el SID no viaja por URL. ¿Alguna solución para PHP5?

Un saludo!

Pues parece que han modificado eso en PHP 5 .. por qué en PHP 4 se puede establecer vía php.ini el estado de la directiva session.use_trans_sid.

Tendrás que hacerlo directamente sobre el php.ini o bien usando un .htaccess o en la configuración de Apache (en el módulo de PHP) usando:

php_flag session.use_trans_sid ON

Pero, te recomiendo que leas este documento antes de seguir intentando propagar el SID por el URL en lugar de cookies (con sus prós y contras ...):

http://www.acros.si/papers/session_fixation.pdf

Un saludo,

Ehmmmm... bueno Cluster tienes razón. Es vulnerable el paso del SID tanto por URL como por campos hidden. Lo mejor es usar las cookies y listo.

En base a esto me nace otra curiosidad...¿Cómo podría de alguna forma.. detectar si el usuario tiene o no las cookies activadas?... Gmail por ejemplo, si tienes las cookies inactivas no te deja loguear y muestra un mensaje de error por las cookies.

Tendrás que enviar una cookie como "test" y tomar su valor .. Si existe, es que acepta cookies (y puedes borrar esa cookie de "test").

Un saludo,

BUeno... hice algo parecido. Logueé al usuario y creé las cookies respectivas en login.php. Luego hice un header() que me lleva a checkcookie.php donde se verifica si las cookies respectivas al usuario existen, si es asi, se lleval usuario al panel de control, de lo contrario, se le muestra un mensaje de error correspondiente a las cookies.

checkcookie.php solo verifica si se crearon las cookies en login.php. Es lo mismo que tu me dijistes pero con las cookies reales.

Mil gracias Cluster.