Utilisation simple
The first time a page is accessed, PHP doesn't yet know if the browser is accepting cookies or not, so after session_start() is called, SID will be non-empty, and the PHPSESSID gets inserted in all link URLs on that page that are properly using SID.
This has the consequence that if, for example, a search engine bot hits your home page first, all links that it sees on your home page will have the ugly PHPSESSID=... in them.
This appears to be the default behavior. A work-around is to turn on session.use_only_cookies, but then you lose session data for anyone who has their cookies turned off.
Passer l'identifiant de session (session ID)
Il y a deux méthodes de propagation de l'identifiant de session :
- Cookies
- Par URL
Le module de session supporte les deux méthodes. Les cookies sont optimaux, mais comme ils ne sont pas sûrs (tous les internautes ne les acceptent pas), ils ne sont pas fiables. La seconde méthode place l'identifiant de session directement dans les URL.
PHP est capable de faire cela de manière transparente, lorsqu'il est compilé avec l'option --enable-trans-sid. Si vous activez cette option et que l'option d'exécution session.use_trans_sid est activée, les URLs relatives seront modifiées pour contenir l'identifiant de session automatiquement.
Note:
L'option arg_separator.output de php.ini vous permet de personnaliser le séparateur d'arguments. Pour être complètement en accord avec les spécifications XHTML, spécifiez & ici.
Alternativement, vous pouvez utiliser la constante SID
qui est définie si la session a commencé. Si le client n'envoie pas un cookie de session
approprié, il aura la forme session_name=session_id.
Sinon, il vaudra une chaîne vide. Ainsi, vous pouvez dans tous les cas
l'inclure dans l'URL.
L'exemple suivant vous montre comment enregistrer une variable et comment
réaliser un lien correct avec une autre page, avec
SID.
Exemple #1 Compter le nombre de passages d'un utilisateur sur une page
<?php
session_start();
if (empty($_SESSION['count'])) {
$_SESSION['count'] = 1;
} else {
$_SESSION['count']++;
}
?>
<p>
Bonjour visiteur, vous avez vu cette page <?php echo $_SESSION['count']; ?> fois.
</p>
<p>
Pour continuer, <a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">cliquez ici</a>.
</p>
La fonction htmlspecialchars() est utilisée lors de l'affichage
du SID dans le but de contrer les attaques XSS.
L'affichage du SID, comme montré dans l'exemple
ci-dessus, n'est pas nécessaire si
--enable-trans-sid a été utilisé pour compiler
PHP.
Note:
Les URL non-relatives sont considérées comme externes au site, et ne recevront pas le
SID, car la fuite duSIDvers un serveur différent présente un risque de sécurité important.
add a note
User Contributed Notes
Passer l'identifiant de session (session ID)
Anonymous
16-Mar-2010 04:23
CT Thompson
17-Jul-2009 07:17
The previous user is correct, but you can get around this by starting your sessions like this:
session_start($mysession);
Or you can set up an if statement that determines if $mysession is set and whatnot...
a dot nielsen at shikadi dot net
09-Feb-2009 11:49
When you generate URLs yourself using the SID variable, it must come first in the URL parameter list. For example, if SID expands to "mysession=123" then this does NOT work:
file.php?var1=value&mysession=123
The SID must come first:
file.php?mysession=123&var1=value
If the SID does not come first then session_start() does not recognise it and it creates a new session instead of loading the old one.