Hallo,
neuere Browser unterstützen die HTTPonly Eigenschaft von Cookies, die Sessionklau erschweren sollen.
Wenn man am Anfang der beiden sessions.php (normal und in der admin Verzstruktur) folgendes einfügt,
PHP
# 20110707 Test: keinen direkten Zugriff per Javascript auf Sessioncookie in modernen Browsern erlauben
@ini_set('session.cookie_httponly', true);
sollte das sessioncookie sicherer sein als ohne.
Diese Eigenschaft ist laut php.net seit php 5.2.0 verfügbar.
Irgendwelche Bedenken/Probleme?
Habe mal kurz die demoshops diverser Shopanbieter durchprobiert, im xt:c Bereich habe ich das jetzt noch nicht gesehen, bei einem anderen System ja. Viele großen Seiten (Google usw) nutzen inzwischen die HTTPonly Eigenschaft.