Это хорошая практика для отображения идентификатора сеанса в URL?

Question

Я использую PHP 4+ и работаю в проекте osCommerce, где я сталкиваюсь с идентификатором сеанса в URL, поэтому мне просто нужно знать, является ли хорошей практикой показ идентификатора сеанса в URL? если да то почему? а если нет то почему? и как я могу скрыть идентификатор сеанса в URL и использовать любую заменяющую строку там в URL?

Answer 1

Нет смысла вставлять туда замещающую строку - дело в том, что если вы используете отслеживание сеансов, управляемое URL-адресами, а не cookie-файлами, то, что в URL-адресе, должно идентифицировать сеанс. Является ли это действительным идентификатором сеанса или чем-то, из чего он может быть получен, ни здесь, ни там - вы не делаете вещи более безопасными, запутывая.

Является ли это хорошей идеей, частично зависит от дополнительной безопасности вокруг нее. Если вы можете перенести внедренный в сеанс URL-адрес с одного компьютера на другой и просто продолжить, как если бы один и тот же пользователь находился в одном сеансе, то нет, это не так. Но вам нужно узнать больше о сайте, стоящем за всем этим, чтобы ответить на вопрос.

Answer 2

идентификаторы сеанса URL использовались, когда файлы cookie не были широко поддержаны / включены. Я не думаю, что есть основания использовать их сегодня. Они выглядят некрасиво, они недружелюбны по отношению к пользователю (вы не можете просто ввести URL-адрес и ожидать входа в систему), и они представляют угрозу безопасности, поскольку (хотя сами они не обязательно уязвимы), они значительно упрощают уязвимости, связанные с перехватом сеансов. эксплуатируют.