作者kencool107 (臉都歪了)
看板PHP
標題[請益] sessionID不使用cookie用url傳的問題
時間Thu Mar 1 17:13:33 2012
我不想使用cookie將sessionID存在本機
想用url傳遞sessionID
這是官方的範例
將use_trans_id = 1
<?php
session_start();
if (empty($_SESSION['count'])) {
$_SESSION['count'] = 1;
} else {
$_SESSION['count']++;
}
?>
<p>
Hello visitor, you have seen this page <?php echo $_SESSION['count']; ?> times.
</p>
<p>
To continue, <a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">click
here</a>.
</p>
我想問的是
這樣別人檢視原始碼不就看到
href="nextpage.php?PHPSESSID=XXXXXXXXX"
那不是就被看光了
這樣有安全性上的顧慮嗎
有什麼解決辦法
請高手指點迷津
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 60.251.55.25
1F:→ terrybob:放在db 03/01 17:20
2F:推 UniFish:看到....然後呢?session是server管控的,你應該要朝 03/01 17:41
3F:→ UniFish:server side的程式對session作管控才對 03/01 17:41
4F:→ mervynW:sessionId 一定看得到. 用Get只是增加自己的麻煩 03/01 18:20
5F:→ kencool107:意思是 就算sessID給人知道 做好server side程式管控 03/01 18:24
6F:→ kencool107:就OK了嗎 03/01 18:24
7F:→ UniFish:是的:) 03/01 19:54
8F:→ buganini:印象中cookie不能用的時候php會自動用get傳? 03/02 00:32
9F:推 kusoayan:記得 browser 裝個 plugin 就能看到 PHPSESSIONID了XD 03/02 02:12
10F:→ buganini:自己翻一下cookie就可以看到了 03/02 12:38
11F:→ mervynW:不用裝plugin, 知道那找就看得到了. 03/02 15:38