PHP 5.6.0 released

Passando o ID de Sessão

Existem dois métodos para a propagação do id de sessão:

  • Cookies
  • URL parameter

O módulo de sessão suporta ambos os métodos. Cookies são melhores, mas como eles nem sempre estão disponíveis, nós também provemos um caminho alternativo. O segundo metodo embute o id de sessão diretamente nas URLs.

O PHP é capaz de transformar os links transparentemente. A menos que você esteja usando o PHP 4.2 ou posterior, você precisa ativar isso manualmente ao compilar o PHP. No Unix, passe --enable-trans-sid para o configure. Se esta opção de compilação e a opção em tempo execução session.use_trans_sid estiverem ativadas, URIs relativas serão modificadas para conter o id de sessão automaticamente.

Nota:

A diretiva arg_separator.output php.ini permite a você personalizar o separador de argumentos. Para estar em completa conformidade com XHTML, especifique & aqui.

Alternativamente, você pode usar a constante SID a qual é definida se uma sessão é iniciada. Se o cliente não enviou um cookie de sessão apropriado, ela tem a forma session_name=session_id. Se não, ela expande para uma string vazia. Assim, você pode colocá-la incondicionalmente em URLs.

O exemplo a seguir mostra como registrar uma variável, e como criar um link corretamente para outra pagina usando SID.

Exemplo #1 Contando o número de visitas de um único usuário

<?php

session_start
();

if (empty(
$_SESSION['count'])) {
 
$_SESSION['count'] = 1;
} else {
 
$_SESSION['count']++;
}
?>

<p>
Hello visitor, you have seen this page <?php echo $_SESSION['count']; ?> times.
</p>

<p>
To continue, <a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">click
here</a>.
</p>

A função htmlspecialchars() é usada ao mostrar o SID para previnir ataques relacionados a XSS.

Mostrar o SID, como mostrado acima, não é necessário se --enable-trans-sid foi usado para compilar o PHP.

Nota:

É assumido para URLs não relativas que apontem para sites externos e assim não é adicionado o SID, já que seria um risco de segurança vazar o SID para um servidor diferente.

add a note add a note

User Contributed Notes 2 notes

up
5
Anonymous
4 years ago
The first time a page is accessed, PHP doesn't yet know if the browser is accepting cookies or not, so after session_start() is called, SID will be non-empty, and the PHPSESSID gets inserted in all link URLs on that page that are properly using SID.

This has the consequence that if, for example, a search engine bot hits your home page first, all links that it sees on your home page will have the ugly PHPSESSID=... in them.

This appears to be the default behavior. A work-around is to turn on session.use_only_cookies, but then you lose session data for anyone who has their cookies turned off.
up
-12
a dot nielsen at shikadi dot net
5 years ago
When you generate URLs yourself using the SID variable, it must come first in the URL parameter list.  For example, if SID expands to "mysession=123" then this does NOT work:

  file.php?var1=value&mysession=123

The SID must come first:

  file.php?mysession=123&var1=value

If the SID does not come first then session_start() does not recognise it and it creates a new session instead of loading the old one.
To Top