在 url 中显示会话 ID 是一个好习惯吗？

Question

我正在使用 PHP 4+，我正在 osCommerce 的一个项目中工作，我在 url 中遇到了会话 id，所以我只需要知道，在 url 上显示会话 id 是一个好习惯吗？如果是的话为什么？如果没有那么为什么？我如何隐藏 url 中的会话 ID 并使用 url 中的任何替代字符串？

Answer 1

在那里放置替代字符串是没有意义的 - 重点是，如果您使用 URL 驱动而不是 cookie 驱动的会话跟踪，则 URL 中的内容必须标识会话。无论是实际的会话 ID 还是可以从中派生出的内容，都不存在 - 您不会通过混淆来使事情变得更加安全。

这是否是一个好主意部分取决于它周围增加的安全性。如果您可以将会话嵌入的 URL 从一台计算机传输到另一台计算机，并且就像同一用户在同一会话中一样进行操作，那么不，事实并非如此。但您需要更多地了解其背后的网站才能回答这个问题。

Answer 2

当 cookie 不被广泛支持/启用时，会使用 URL 会话 ID。我认为今天没有任何理由使用它们。它们看起来很丑陋，对用户不友好（您不能只输入 URL 并期望登录），而且它们存在安全风险，因为（尽管它们本身不一定容易受到攻击）它们使会话劫持漏洞更容易被利用开发。