- sichtbar auch in Suchmaschinen
- verschwinden beim zweiten Aufruf
Aus JoomlaPortal
Bastelt mal eine Testdatei mit folgendem Inhalt oder kopiert das in die index.php des Templates zum debuggen:
die "Klammern" sollten leer sein oder die Zahl 0 enthalten, was eigentlich auch die Voreinstellung ist und der Sicherheit dient. Ist dies nicht der Fall, hat jemand daran geschraubt oder ihr habt 'ne verkorkste lokale "XAMPP"-Installation.
Ist der Wert "On", "true" oder "1" klebt PHP die Session-ID beim ersten Seitenaufruf kaputtautomatisch an die URL, an alles was nach einem Link riecht (href=xxx) und packt ein verstecktes Feld in *alle* Formulare. Genau: PHP verändert den HTML-Code bei dieser Einstellung eigenmächtig, nicht Joomla -- daher das zerschossene fieldset. Ab dem 2. Aufruf greifen i.d.R. die Cookies und die Session-ID "verschwindet" wieder auf magische Weise.
Um herauszufinden *was* PHP alles ändert kann man diese Zeile bemühen:
Zu dieser Einstellung sagt das Handbuch: "If you want XHTML conformity, remove the form entry." Hierzu sei aber auch gesagt, dass das Hinzufügen von "fieldset=" an diese Liste und zwar *nach* "form=" auch für Konformität sorgt.
Beides kann übrigens zur Laufzeit geändert werde, d.h. wenn PHP als Servermodul läuft (nicht der Fall bei 1und1 und vielen Pauschalhostern) in der .htaccess, ansonsten in einem Skript der möglichst gaaanz zu Anfang ein ini_set() enthält, d.h. "patchen".
Aus forum.joomla.org
Drei mögliche Lösungen wären:
ini_set('session.use_cookies', '1');
ini_set('session.use_only_cookies', '1'); // PHP >= 4.3
ini_set('session.use_trans_sid', '0');
// Diese Zeile auskommentieren falls vorhanden:
// ini_set("url_rewriter.tags","a=href,area=href,frame=src,input=src,form=fakeentry");
ini_set('url_rewriter.tags', '');
php_flag session.use_trans_sid off
Diese Zeile in die .htaccess-Datei einfügen. Das hat bei mir aber nur eine Fehlermeldung gegeben.
oder 3.
in eine php.ini ersetzen von
session.use_trans_sid = 1
session.use_trans_sid = 0
evtl. auch noch:
session.use_only_cookies = 1
Sämtliche php_xxx Angaben in einer .htaccess, httpd.conf oder sonstigen Apache-Konfigdateien funktionieren nur dann, wenn PHP als Servermodul installiert ist. Bei fast allen Hostern läuft PHP aber als "CGI", d.h. als externes Programm das von jedwelchen Einstellungen für Apache nix mitbekommt.
Vielleicht zur Klärung: wenn PHP Cookies für die Session-ID nehmen "darf" (soll) sind use_trans_sid und url_rewriter.tags irrelevant. Die sind der Notnagel, denn ohne Cookies kann PHP nur via URL-Anhängsel und Blindfelder in Formularen seine Session-ID "transportieren".
ini_set('session.use_only_cookies', 1) (ab 4.3) stellt zudem sicher, dass diese ID zwingend von einem Cookie kommen muss, d.h. selbst wenn eine gültige ID in URL oder FORM vorhanden wäre, wird sie ignoriert -- soll gegen Sessionklau schützen.
Über die robots.txt
Disallow: /*html?2165d7=*
Hiermit wird verhindert, dass die Suchmaschine alle die Dateien nicht liest, die auf der Domain mit einer beliebigen Anzahl von Zeichen beginnen, gefolgt von der festen Zeichenkette "html?2165d7=" dann wieder gefolgt von einer beliebigen Anzahl von Zeichen. Die Nummernfolge ist von Server zu Server unterschiedliche und in diesem Fall ein Schnipsel der Session-ID. Hier sollte man sich also anschauen wie die Session-ID aufgebaut werden und entsprechend einsetzen.
Zwar ist dieser komplexe String zuverlässig gegen Verwechslungen, so dass keine falschen Seiten ausgesperrt werden, aber das kann sich auf dem Server auch mal ändern. Entweder sollte man das regelmäßig prüfen, ob es noch Gültigkeit besitzt, oder einen String bauen, der weniger konkret ist. Evtl. reicht ja schon "/*html?*".