Javascript によって制御される Flash アップローダー (SWFUpload など) を使用する際の問題の 1 つは、アップロード スクリプトの実行時に Flash が独自のセッションを開始することです。これは、アップロード スクリプトがユーザーを認証すると失敗することを意味します。
これを回避する 1 つの方法は、PHPSESSID を post パラメーターとしてスクリプトに渡すことです。ただし、これは完全な解決策ではありません。多くのホスティング プロバイダーでは、PHP 設定の「session_use_only_cookies」がオンになっており、リクエストからセッション ID が受け入れられないためです。
明らかに、匿名ユーザーがアップロード スクリプトを実行して、神のみぞ知るところから神のみぞ知るものを渡してほしくないということは、大きな懸念事項です。
セッションと Cookie 以外に、ユーザーを認証するための別のアイデアがあるかどうか疑問に思っています。Flash リクエストが予期されたソースからのものであり、有効なユーザーがリクエストを開始したことを検証することは可能でしょうか? PHPSESSID 以外の何らかの種類のトークンを使用すると、おそらく、これはどのように機能するのでしょうか?