作者kencool107 (脸都歪了)
看板PHP
标题[请益] sessionID不使用cookie用url传的问题
时间Thu Mar 1 17:13:33 2012
我不想使用cookie将sessionID存在本机
想用url传递sessionID
这是官方的范例
将use_trans_id = 1
<?php
session_start();
if (empty($_SESSION['count'])) {
$_SESSION['count'] = 1;
} else {
$_SESSION['count']++;
}
?>
<p>
Hello visitor, you have seen this page <?php echo $_SESSION['count']; ?> times.
</p>
<p>
To continue, <a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">click
here</a>.
</p>
我想问的是
这样别人检视原始码不就看到
href="nextpage.php?PHPSESSID=XXXXXXXXX"
那不是就被看光了
这样有安全性上的顾虑吗
有什麽解决办法
请高手指点迷津
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 60.251.55.25
1F:→ terrybob:放在db 03/01 17:20
2F:推 UniFish:看到....然後呢?session是server管控的,你应该要朝 03/01 17:41
3F:→ UniFish:server side的程式对session作管控才对 03/01 17:41
4F:→ mervynW:sessionId 一定看得到. 用Get只是增加自己的麻烦 03/01 18:20
5F:→ kencool107:意思是 就算sessID给人知道 做好server side程式管控 03/01 18:24
6F:→ kencool107:就OK了吗 03/01 18:24
7F:→ UniFish:是的:) 03/01 19:54
8F:→ buganini:印象中cookie不能用的时候php会自动用get传? 03/02 00:32
9F:推 kusoayan:记得 browser 装个 plugin 就能看到 PHPSESSIONID了XD 03/02 02:12
10F:→ buganini:自己翻一下cookie就可以看到了 03/02 12:38
11F:→ mervynW:不用装plugin, 知道那找就看得到了. 03/02 15:38