Ich benutze PHP 4+ und ich arbeite in einem Projekt von osCommerce, wo ich mit der Session-ID in der URL, so muss ich nur wissen, ist es eine gute Praxis, die Session-ID auf der URL anzeigen? Wenn ja, warum? und wenn nein dann warum? und wie kann ich die Session-ID in URL verstecken und eine Ersatzzeichenfolge dort in URL verwenden?Ist es eine gute Übung, die Sitzungs-ID in der URL anzuzeigen?
Es macht keinen Sinn, eine Ersatzzeichenfolge einzufügen - der Punkt ist, dass, wenn Sie eine URL-gesteuerte und keine Cookie-gesteuerte Sitzungsverfolgung verwenden, die URL die Sitzung identifizieren muss. Ob die tatsächliche Sitzungs-ID oder etwas, von dem sie abgeleitet werden kann, ist weder hier noch dort - Sie machen die Dinge nicht sicherer, indem Sie sie verschleiern.
Ob es eine gute Idee ist, hängt zum Teil von der zusätzlichen Sicherheit ab. Wenn Sie eine in eine Sitzung eingebettete URL von einem Computer zu einem anderen nehmen und so weitermachen können, als wäre derselbe Benutzer in derselben Sitzung, dann ist dies nicht der Fall. Aber Sie müssen mehr über die Seite dahinter wissen, um die Frage zu beantworten.
URL-Sitzungs-IDs wurden verwendet, wenn Cookies nicht weitgehend unterstützt/aktiviert wurden. Ich glaube nicht, dass es eine Rechtfertigung gibt, sie heute zu benutzen. Sie sehen hässlich aus, sie sind benutzerunfreundlich (Sie können nicht einfach die URL eingeben und erwarten, dass sie eingeloggt sind), und sie sind Sicherheitsrisiken, da sie die Sicherheitslücke bei der Sitzungsentführung sehr viel einfacher machen (obwohl sie selbst nicht unbedingt anfällig sind) Ausbeuten.
URL-gesteuerte Sitzungs-IDs bringen Ihre SEO zusätzlich zu einem großen Sicherheitsrisiko. Bewahren Sie Ihre Sitzungs-IDs in den Cookies auf. –