Nutzer-Sessions geheim halten
Standard-Einstellungen für Session-Cookies
// Session nicht automatisch starten
ini_set('session.auto_start', 0);
// Garbage-Collector: Wahrscheinlichkeit = gc_probability / gc_divisor = 1%
ini_set('session.gc_probability', 1);
ini_set('session.gc_divisor', 100);
// Nach einem Tag wird die Session gelöscht
ini_set('session.gc_maxlifetime', 1 * 24 * 60 * 60);
// Cookies zur Session-Verwaltung verwenden
ini_set('session.use_cookies', 1);
// Erlaube nur vom Server generierte Session-IDs
ini_set('session.use_strict_mode', 1);
// Cookies nicht als GET-Parameter senden
ini_set('session.use_only_cookies', 1);
// Speichere Session-Cookies nicht persistent
ini_set('session.cookie_lifetime', 0);
// Verbiete Javascript den Zugriff auf Cookies
ini_set('session.cookie_httponly', 1);
// Cookies nur über sichere Verbindung senden
ini_set('session.cookie_secure', 1);
// Lege verwendet Sprache nicht offen
ini_set('session.name', 'sid');