我正在使用PHP 4+而且我正在一个osCommerce项目中工作,我在网址中遇到会话ID,所以我只需要知道,这是一个很好的做法,在网址上显示会话ID?如果是,那么为什么?如果没有那么为什么?如何在URL中隐藏会话ID并在url中使用任何替换字符串?
答案 0 :(得分:7)
没有必要在其中添加替代字符串 - 重点是,如果您使用的是URL驱动而非Cookie驱动的会话跟踪,则URL中的内容必须标识会话。无论是实际的会话ID还是它可以从中得到的东西既不是在这里也不是在那里 - 你不会通过混淆来使事情变得更加安全。
这是否是一个好主意,部分取决于围绕它增加的安全性。如果您可以将会话嵌入的URL从一台计算机转移到另一台计算机,并且只是在同一会话中继续运行,那么不,它不是。但是你需要更多地了解它背后的网站才能回答这个问题。
答案 1 :(得分:1)
在广泛支持/启用Cookie时使用了URL会话ID。我认为今天没有任何理由可以使用它们。它们看起来很难看,它们对用户不友好(你不能只输入URL并希望登录),并且它们是安全风险(尽管它们本身不一定是脆弱的)它们使会话劫持漏洞更容易利用。