傳送會話ID

有兩種方式用來傳送會話 ID：

Cookies
URL 參數(shù)

會話模塊支持這兩種方式。 Cookie 方式相對好一些，但是用戶可能在瀏覽器中關閉 Cookie，所以第二種方案就是把會話 ID 直接并入到 URL 中，以保證會話 ID 的傳送。

無需開發(fā)人員干預，PHP 就可以自動處理 URL 傳送會話 ID 的場景。如果啟用了 session.use_trans_sid 選項， PHP 將會自動在相對 URI 中包含會話 ID。

注意:
arg_separator.output php.ini 配置指令允許你自定義會話 ID 參數(shù)分隔符。可以設定為 & 來保持和 XHTML 的一致性。

會話開始之后，可以使用 SID 常量。如果客戶端未提供會話 cookie，該常量的展開形式為 session_name=session_id，反之，該常量為空字符串。因此，可以直接在 URL 中包含此常量的展開字符串而無需考慮會話 ID 的實際傳送方式。

下例演示了如何在會話中注冊變量以及如何使用 SID 常量正確的鏈接到另一頁面。

示例 #1 某單一用戶的點擊數(shù)


<?php

session_start();

if (empty($_SESSION['count'])) {
   $_SESSION['count'] = 1;
} else {
   $_SESSION['count']++;
}
?>

<p>
Hello visitor, you have seen this page <?php echo $_SESSION['count']; ?> times.
</p>

<p>
To continue, <a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">click
here</a>.
</p>

可以使用 htmlspecialchars() 來打印 SID 常量的展開字符串以避免 XSS 相關的攻擊。

如果使用 --enable-trans-sid 參數(shù)編譯的 PHP，上例中打印 SID 常量部分就可以省略。

注意:
非相對 URL 將被視為指向外部站點的鏈接，從安全角度考慮，外站的鏈接 URL 中將不包含 SID 常量，以避免將 SID 泄露到外部服務器的風險。