关于PHP中浏览器禁止Cookie后，Session能使用吗？

转载

心疼五百块大洋 2022-12-06 09:24:27 博主文章分类：php

文章标签 php PHP 客户端 文章分类 运维

关于PHP中浏览器禁止Cookie后，Session能使用吗？我们来做些测试，然后说明原理。
我建立两个文件session_test.php和session_a.php内容分别是：

<?php

 

session_start();

 

$_SESSION['url'] = 'http://www.phpddt.com';

 

echo '这个页面取到的session值：'.$_SESSION['url'];

 

echo "<a href='session_a.php'>另一个页面</a>";

<?php

 

session_start();

 

echo "看这里是否获取到session的值：".$_SESSION['url'];

运行session_test.php结果：

点击另一个页面，默认当然是可以获取的,但是当我禁止cookie后呢？

看看session_a.php结果：

PHP中的session在默认情况下是使用客户端的

来保存session id的,所以当客户端的cookie出现问题的时候就会影响session了。但是Session并不完全依赖Cookie，它还可以通过URL Get传递session id的。这需要你将php.ini中

session.use_trans_sid = 1

，这表示允许SessionID通过URL明文传输，既然GET可以，那么POST传递session id我觉得也可以吧。

好，这样，把上面session_test.php和session_a.php改造下就可以使用sesson了：

<?php

 

session_start();

 

$_SESSION['url'] = 'http://www.phpddt.com';

 

echo '这个页面取到的session值：'.$_SESSION['url'];

 
?>
 

<a href="session_a.php?<?php print session_name() ?>=<?php print session_id() ?>">另一个页面</a>

<?php

 

session_id($_GET['PHPSESSID']);

 

session_start();

 

echo "看这里是否获取到session的值：".$_SESSION['url'];

如愿以偿：

最后说明：

php.ini 中 SESSION 的配置

session.use_only_cookies = 1; // 开启仅使用cookies存放会话id

session.use_trans_sid = 1; // 允许SessionID通过URL明文传输

在这种情况下虽然已经允许了SessionID通过URL明文传输，但是同时又开启了仅使用cookies存放会话SessionID，所以在URL中明文传输的PHPSESSIONID参数值是无效的，SESSION不能用。
php.ini 中 SESSION 的配置
session.use_trans_sid = 0; // 禁止SessionID通过URL方式明文传输

SESSION 不能用，这是最这安全的做法，也是php.ini 的默认配置