我成功使用mycrypt加密管理面板中的ID,因为它们经常出现在网址中。我之前在代码时手动添加了一个密钥,但这次我计划使用会话中保存的用户帐户ID。这是一个好方法,还是我应该在整个网站上使用固定密钥。
由于
答案 0 :(得分:0)
永远不要在URL上传递SESSION ID,即使加密(虽然它很奇怪但仍然非常不安全)。很久以前,PHP(session.use_trans_id = 0)已弃用转移SESSION ID。会话ID由浏览器自动传输,您根本不需要处理它。
唯一的用例可能是如果您想要强制允许浏览器使用已禁用的cookie,那么您需要将这样的参数附加到所有链接(模仿已弃用的bahaviour)。但是:
因此,您只需提取存储在会话中的userID,而不必担心通过URL传输会话ID。