Как я могу отправить PHPSESSID в URL?

Question

Я пытаюсь отправить PHPSESSID через переменную HTTP GET для клиента без файлов cookie.

Я видел это в различных реализациях drupal, где ?PHPSESSIONID=123ABC добавляет к каждой ссылке, но как мне указать это в PHP и есть ли способ изменить параметр GET, чтобы он мог быть? Token = 123ABC, или даже отправлено через HTTP POST?

Стандартный стек LAMP, работающий с Zend Framework.

Спасибо!

Answer 1

Использование файла cookie или нет настраивается следующими параметрами PHP:

• session.use_cookies
• session.use_only_cookies

Если первый установлен, куки будут использоваться, если это возможно.
PHP должен определять, включены ли куки-файлы, и использовать их, только если они поддерживаются клиентом.

Чтобы разрешить передачу идентификатора сеанса с помощью GET вместо файлов cookie, может потребоваться активировать session.use_trans_sid , который по умолчанию отключен (что означает, что по умолчанию идентификатор сеанса передается только печенье - никогда не получай) .

Но учтите, что при включении этой опции PHP будет передавать идентификатор сеанса с помощью GET хотя бы для первой страницы, на которую придет каждый пользователь вашего сайта ... так как у него сначала не будет cookie, и Единственный способ проверить, поддерживают ли они куки-файлы, - установить один и попытаться прочитать его на следующей странице.
И пользователи, которые не поддерживают куки, включая поисковые системы, я бы сказал, будут иметь этот идентификатор сессии - и это нехорошо: - (

И, возможно, вы также захотите взглянуть на session.name , чтобы установить имя ключа (в значении «token» вместо «PHPSESSID», я имею в виду)

Для более подробной информации, вы можете взглянуть на раздел Session Handling руководства: -)

Answer 2

Делаем это вручную:

if ($_REQUEST['token'])
  session_id($_REQUEST['token']);
session_start();

print("foo=".$_SESSION['foo']++."<br />".
      "<a href={$PHP_SELF}?token=".session_id().">link</a><br />");
print("<form method=POST>".
      "<input type=hidden name=token value=".session_id()." />".
      "<input type=submit /></form>");

Answer 3

Вы можете изменить PHPSESSID, используя session_name() или session.name в файле php.ini (или используя ini_set()).

Для клиентов без файлов cookie есть опция session.use_trans_sid php.ini - вы должны знать, что это может вызвать проблемы - например, пользователи передают URL-адреса с идентификаторами сеансов друг другу или поисковые системы выбирают такие URL-адреса.

Answer 4

1. Создайте страницу входа, пользователь не должен входить без правильного идентификатора и пароля.
2. После входа в систему пользователь приходит домой, здесь пользователь может выйти из системы и вернуться на страницу входа.
3. Пользователь не должен иметь доступ к домашней странице, не пройдя страницу входа.