Trabajar sin cookies...

Saludos a todos.

Po zi, mi propósito es trabajar sin cookies.

Para ello cambié en el php.ini:
session.use_trans_sid = 1
session.use_cookies = 0

Sin embargo, en el directorio php/temp siguen apareciendo.

Por otro lado, a través del método POST no hay problema pero al redireccionar la página a través de <meta http-equiv='refresh' content='5; URL=menu.php'> la SESION SE PIERDE.
¿ Cómo es posible si está marcado el SID como automático ?
Probé con header('location: menu.php'); y tampoco.

Quién le da luz a mi oscuriá.... Gracias.

Además, resulta que usando un link echo "<br><a href='menu.php'>menu</a>"; va perfectamente.

Entonces, ¿ es que usando header no se traspasa el SID automáticamente ?

Además, qué le impide a un hacker introducir una SID modificando la url ?

Podría hacerle creer a php que es un usuario registrado con permiso si usa una SID que otro usuario está usando en ese momento.

Antes que nada, y sin saber mucho del tema, te comento que -creo- no puede haber dos SID iguales.

Por otra parte, un Hacker no anda robando SID's... -a lo sumo un Cracker o un aprendiz de este-

En todo caso, quien te asegura que no roban los datos de una cookie y los usan como usuario registrado?

¿ Sabes por qué no se pasa el SID por la url cuando uso header ?

Mostra como lo estas pasando...

header ("Location: menu.php");

no le paso el SID porque se supone que lo hace él mismo. De hecho lo hace la primera vez.
Cuando uso <a href='menu.php'>Pulse aquí para acceder al MENU PRINCIPAL</a> lo hace sin problemas.
El codigo completo es
<?
session_start();

require("\Pag.php");
cabeza();

if($_POST['usuario']=="yo")
{
$_SESSION['usuario']=$_POST['usuario'];
header ("Location: menu.php");
/* echo "<br><a href='menu.php'>Pulse aquí para acceder al MENU PRINCIPAL</a>"; */
}
else
{
echo "<meta http-equiv='refresh' content='0; URL=index.php'>";
}

pie();
?>

¿Pero por qué dices no te pasa el SID??, ¿cómo es que la sesión "se pierde"?.

Lo mejor será que muestres el código de dónde inicias y declaras las variables de sesión tanto como en donde recuperas la sesión y variables y seas un poco más descriptivo en cuanto a el comportamiento indevido.

Un saludo!

-- Edito --
-> Por cierto: si cabeza() crea algún HTML (así se puede deducir) temo que es un error; no puedes tener ninguna salida antes de un header() --ni se session_start(), pero no es tu caso--. Además, siempre es recomendable hacer un exit inmediatamente después de dicho header("Location:...").

PHP si usas session.use_trans_sid a ON .. te va a insertar el SID en vários tag´s HTML automáticamente, pero no lo va hacer en redireccionamientos como header("Location ..") ni en javacript (window.open() .. etc), ni con tu redireccionamiento vía <META ....>. En esos casos si deseas realmente propagar el SID en el URL y no en cookies debes añadirlo TU a mano:

Para ello usa la constante: SID

Por lo demás ... lo que te aparece en "php/temp" ahí ves las SESIONES!!! en sí .. recuerda que estás USANDO tu própio PC como cliente y SERVIDOR. .. Las sesiones permanecen en el servidor (son esos archivos sessionid_a98yas89df897asdf o similar) eso no son "cookies"!!!.

Y ten mucho cuidado propagando el SID en el URL .. Ten presente que esos ID de sesión van quedando en proxys (caché) en los cachés de los navegadores .. así que ajusta bien el tiempo de duración de tus sesiones: session.gc_maxtimelife .. por qué sino tendrás problemas como los que se describen en este documento (lectura recomendada por PHP.net):

http://www.acros.si/papers/session_fixation.pdf

Un saludo,

Gracias por vuestra respuesta.
He intentado traducir el articulo Cluster, aunque me está siendo dificil comprenderlo.
Aunque, supongo que la idea general es reducir el tiempo de duración.
Tengo otra duda, pero mejor la pongo en un nuevo tema. Gracias de nuevo.