Ich benutze PHP 4+ und ich arbeite in einem Projekt von osCommerce, wo ich mit der Session-ID in der URL, so muss ich nur wissen, ist es eine gute Praxis, die Session-ID auf der URL anzeigen? Wenn ja, warum? und wenn nein dann warum? und wie kann ich die Session-ID in URL verstecken und eine Ersatzzeichenfolge dort in URL verwenden?Ist es eine gute Übung, die Sitzungs-ID in der URL anzuzeigen?
Antwort
Es macht keinen Sinn, eine Ersatzzeichenfolge einzufügen - der Punkt ist, dass, wenn Sie eine URL-gesteuerte und keine Cookie-gesteuerte Sitzungsverfolgung verwenden, die URL die Sitzung identifizieren muss. Ob die tatsächliche Sitzungs-ID oder etwas, von dem sie abgeleitet werden kann, ist weder hier noch dort - Sie machen die Dinge nicht sicherer, indem Sie sie verschleiern.
Ob es eine gute Idee ist, hängt zum Teil von der zusätzlichen Sicherheit ab. Wenn Sie eine in eine Sitzung eingebettete URL von einem Computer zu einem anderen nehmen und so weitermachen können, als wäre derselbe Benutzer in derselben Sitzung, dann ist dies nicht der Fall. Aber Sie müssen mehr über die Seite dahinter wissen, um die Frage zu beantworten.
URL-Sitzungs-IDs wurden verwendet, wenn Cookies nicht weitgehend unterstützt/aktiviert wurden. Ich glaube nicht, dass es eine Rechtfertigung gibt, sie heute zu benutzen. Sie sehen hässlich aus, sie sind benutzerunfreundlich (Sie können nicht einfach die URL eingeben und erwarten, dass sie eingeloggt sind), und sie sind Sicherheitsrisiken, da sie die Sicherheitslücke bei der Sitzungsentführung sehr viel einfacher machen (obwohl sie selbst nicht unbedingt anfällig sind) Ausbeuten.
- 1. Ist es eine gute Übung, NSError
- 2. Ist die www Subdomain eine gute Übung?
- 3. Ist es eine gute Übung, $ parent in angular zu verwenden?
- 4. In Python auf null setzen, ist es eine gute Übung?
- 5. Ist es eine gute Übung, size_t in C++ zu verwenden?
- 6. Ist es eine gute Übung, variable Subdomains zu verwenden?
- 7. Ist es eine gute Übung, den Skripttyp zu ignorieren?
- 8. Ist es eine gute Übung, Menüs zu validieren?
- 9. Ist es eine gute Übung, Testeigenschaften zu testen?
- 10. Ist es eine gute Übung, eine Methode zu erstellen, die Daten außerhalb der Klasse const ändert?
- 11. Klassen-ID, die innerhalb der Klassendeklaration verwendet wird. Ist es eine gute Übung?
- 12. Ist es eine gute Übung, auf die Schaltflächen-ID in einer Schleife zuzugreifen?
- 13. Ist es eine gute Übung, die Grundphrase einer HTTP-Antwort zu ändern?
- 14. Ist es eine gute Übung, einen anderen Modelltyp von einem Controller an die Ansicht zu übergeben?
- 15. Was ist eine gute Übung für Perl-Sondervariablen?
- 16. Ist es eine gute Übung, einen Ereignis-Listener innerhalb einer Funktion hinzuzufügen, die Parameter enthält?
- 17. Ist das Teilen einer großen Django-App eine gute Übung?
- 18. Verwenden der Aufzählung, um Fehlermeldungen lesbar darzustellen - ist es eine gute Übung?
- 19. Ist es eine gute Übung, eine Eins-zu-Eins-Relationstabelle in MySQL zu erstellen?
- 20. Ist es immer eine gute Übung, nach dem Freigeben() der Zeiger auf NULL zu setzen?
- 21. In C# ist es eine gute Übung, rekursive Funktionen in Algorithmen zu verwenden?
- 22. "Caching" mySQL-Abfragen, ist das eine gute Übung?
- 23. Logik wird Teil der Eigenschaft. Gute Übung?
- 24. Ist es eine gute Übung, eine Anwendung über mehrere EXE-Dateien zu erstellen?
- 25. Warum ist es eine gute Übung, eine Klasse, die wir aus der Klasse "Objekt" machen, zu erben?
- 26. Ist es eine gute Übung, verschiedene Tabellentypen in einer Datenbank mit MySQL zu haben?
- 27. Ist es immer eine gute Übung, Aliase in SQL-Joins oder verschachtelten Abfragen zu verwenden?
- 28. REST API Design - ist der Plancake end_timestamp für die Synchronisation eine gute Übung?
- 29. Ist es eine gute Übung, "nackten" Text in HTML zu haben?
- 30. Ist es eine gute Übung, Ausnahmen in virtuelle Funktionen zu werfen?
URL-gesteuerte Sitzungs-IDs bringen Ihre SEO zusätzlich zu einem großen Sicherheitsrisiko. Bewahren Sie Ihre Sitzungs-IDs in den Cookies auf. –