我正在使用 PHP 4+,并且在 osCommerce 项目中工作,我在 url 中遇到了会话 id,所以我只需要知道,在 url 上显示会话 id 是一个好习惯吗?如果是,那为什么?如果没有,那为什么?以及如何在 url 中隐藏会话 ID 并在 url 中使用任何替代字符串?
问问题
1048 次
2 回答
7
在那里放置一个替代字符串是没有意义的——关键是,如果您使用的是 URL 驱动而不是 cookie 驱动的会话跟踪,那么 URL 中的内容必须标识会话。无论是实际的会话 ID 还是可以从中派生的东西,都不是这里也不是那里——你不会通过混淆来让事情变得更安全。
这是否是一个好主意,部分取决于它周围增加的安全性。如果您可以将会话嵌入的 URL 从一台机器带到另一台机器,并且就像同一个用户在同一个会话中一样,那么不,它不是。但是您需要更多地了解它背后的网站才能回答这个问题。
于 2010-05-25T07:42:17.187 回答
1
在不广泛支持/启用 cookie 时使用 URL 会话 ID。我认为今天没有任何理由使用它们。它们看起来很丑,对用户不友好(你不能只输入 URL 并期望登录),并且它们存在安全风险(尽管它们本身不一定易受攻击)它们使会话劫持漏洞更容易被发现开发。
于 2010-05-25T07:54:15.783 回答