session_id() en paramètre URL ?

Version imprimable

08/02/2011, 12h59
phpnewbie67

session_id() en paramètre URL ?
Bonjour,

Je voudrais savoir si ça pose un problème de sécurité d'envoyer la session_id() en paramètre d'URL ? sachant que c'est pour la même personne et en aucun cas elle sera transmise à un tiers.

J'attends vos réponses merci.

Mon principe :*code d'exemple
Génération :
Code:

1 2 3 4 5 6 <?php session_start(); $id=session_id(); $href='http://bidule.com/retour_boutique.php?id='.$id; ?>
Affectation/Recupération (retour_boutique.php):
Code:

1 2 3 4 5 6 7 <?php if(isset($_GET['id'])) session_id($_GET['id']); session_start(); //Utilisation des variables $_SESSION ?>
08/02/2011, 13h45
stealth35

oui et ça peux se faire directement via PHP avec session.use_trans_sid

EDIT : voir même utiliser output_add_rewrite_var

et utilise plutôt le session_name a la place de ton "id"
08/02/2011, 14h47
RunCodePhp

Salut

La question dont je me pose, c'est pour quelle raison il te faut ajouter le couple session_name/session_id dans l'URL pour le retour vers la boutique ?

Théoriquement, ça n'est pas nécessaire si auparavant lors de la commande une session était créé (sur la boutique).
Normalement toujours, quand on clique sur un lien le navigateur regarde s'il y a un cookie correspondant au domaine que celui du lien, et ça quelque soit le site Web.
Si le domaine existe (ça devrait être le cas) alors le cookie sera présent dans la requête HTTP, et arrivé au serveur (le tient), la session sera récupérée.

En faite, il n'y que lorsqu'on permet de naviguer/commander sur une boutique même si une personne désactive les cookies coté navigateur qu'il sera nécessaire de rajouter ces infos dans une URL.
Si ce n'est pas le cas, alors c'est qu'il doit avoir un problème au niveau des sessions.
Enfin, à mon avis. ;)