私は PHP 4+ を使用しており、osCommerce のプロジェクトで作業しています。そこで、URL にセッション ID が含まれているため、知っておく必要があります。URL にセッション ID を表示するのは良い方法ですか? はいの場合、なぜですか?いいえの場合、なぜですか?また、URL でセッション ID を非表示にして、URL で代替文字列を使用するにはどうすればよいですか?
1048 次
2 に答える
7
そこに代替文字列を入れても意味がありません。要点は、Cookie 駆動型のセッション トラッキングではなく URL 駆動型のセッション トラッキングを使用している場合、URL に含まれるものでセッションを識別しなければならないということです。それが実際のセッション ID であろうと、それを導出できるものであろうと、ここにもありません。難読化によって物事をより安全にすることはありません。
それが良いアイデアであるかどうかは、その周りに追加されたセキュリティに部分的に依存します. あるマシンから別のマシンにセッションに埋め込まれた URL を取得し、同じセッションで同じユーザーであるかのように続行できる場合は、そうではありません。しかし、その質問に答えるには、その背後にあるサイトについてもっと知る必要があります.
于 2010-05-25T07:42:17.187 に答える
1
URL セッション ID は、Cookie が広くサポートまたは有効化されていない場合に使用されていました。今日それらを使用する正当な理由はないと思います。それらは見た目が悪く、ユーザーフレンドリーではなく (単に URL を入力してログインすることを期待することはできません)、(それら自体が必ずしも脆弱であるとは限りませんが) セッション ハイジャックの脆弱性をはるかに容易にするため、セキュリティ リスクです。搾取する。
于 2010-05-25T07:54:15.783 に答える