session.use_trans_sid

[Yurik]

session.use_trans_sid

У меня стоит

php.ini
--------------
session.use_trans_sid 0

как и должно, пхп не переписывает содержимое урлов. НО, если самому передать
script.php?PHPSESSID=dfasd23......sasd
то он расценит это как идентификатор сесии.

С соображений безопасности (чтобы не было возможности передавать урлы один другому) я хотел бы чтобы пхп брал идентификатор только из куков (подделкой сессионных куков никто заниматься не будет) и игнорировал в GET|POST.
Можно это сделать настройкой сервера, чтобы не доделывать скрипты?

 

[young]

Passing the Session ID
There are two methods to propagate a session id:

Cookies
URL parameter

Возникает вопрос:
Если в куках и урле два разных значения что будет принято как истинное?

А решать очень просто - делаешь проверку:
1) Если ли SID в куках. если нет - выдать.
2) Посмотреть есть ли SID в URL. Если да - сравнить.
3) если все совпало - супер. Есои нет - "Винни, винни, куда я иду... (с)"

 

[RomikChef]

янг, ты вопрос читал?
вот я прочел, и не стал ничего писать

 

[young]

И то правда