セッションIDを手動で合格して、CookieなしでPHPセッションを?qū)g行する主な方法は2つあります。まず、URLセッションIDの伝播を有効にし、PHPを設(shè)定してPHPをリンクに自動的に添付できるようにします。session.use_cookies= 0、session.use_only_cookies = 0およびsession.use_trans_sid = 1 php.ini;次に、セッションIDを手動で処理し、session_id（）を介して取得し、リンクまたはフォームに明示的に渡し、IDを読み取り、後続のページでセッションを復(fù)元します。セッション固定、歴史的漏れ、キャッシュの問題などのセキュリティリスクに注意してください。 session_regenerate_id（）を使用し、IDを公開しないようにし、HTTPonly/SecureフラグでCookieを使用することを優(yōu)先します。

URLまたはその他の方法を手動でセッションIDを渡すことにより、CookieなしでPHPセッションを使用できます。 PHPセッションのデフォルトの動作は、セッションIDをCookieに保存することですが、Cookieが無効またはブロックされている環(huán)境をサポートする必要がある場合は、代替アプローチがあります。

これを効果的に機能させる方法は次のとおりです。

PHPセッションが通常どのように機能するか

デフォルトでは、 session_start()を使用してセッションを開始すると、PHPは一意のセッションIDを作成し、ユーザーのブラウザのCookieに保存します。そのセッションIDは、リクエストごとにサーバーに送信され、PHPが正しいセッションデータを取得できるようにします。

しかし、Cookieが利用できない場合はどうなりますか？ PHPは引き続きセッションIDを生成しますが、リクエスト間で自動的に渡されません。したがって、自分で渡す必要があります。通常、URLまたは非表示のフォームフィールドを介して。

URLでセッションIDを有効にします

PHPには、URLにセッションIDを追加するためのサポートが組み込まれています。この機能は、 php.iniファイルの2つの設(shè)定によって制御されます。

• session.use_cookies - PHPがCookieを使用してセッションIDを送信するかどうかを制御します。
• session.use_only_cookies - PHPに、セッションIDにのみCookieを使用するように指示します（これを無効にします）。
• session.use_trans_sid - URLを介した透過セッションIDの伝播を有効にします。

URLでセッションIDを有効にするには、次のようなこれらの値を設(shè)定します。

 session.use_cookies = 0
session.use_only_cookies = 0
session.use_trans_sid = 1

構(gòu)成されたら、PHPは、適切にフォーマットされた內(nèi)部リンクにセッションIDを自動的に追加します。例えば：

 <？php session_start（）; ？>
<a href = "page.php"> page </a>に移動します

生成されたリンクは次のようになるかもしれません：

 page.php？phpsessid = abc123xyz

??重要：絶対に必要な場合にのみこの方法を使用してください。 URLでセッションIDを渡すと、リファラーヘッダーとブラウザの履歴に露出する可能性があり、セキュリティリスクをもたらします。

セッションIDを手動で処理します

セッションIDがどのように渡されるかをさらに制御したい場合は、手動で処理できます。方法は次のとおりです。

1. いつものようにセッションを開始します：

    session_start（）;

2. セッションIDを取得します：

    $ sid = session_id（）;

3. リンクまたはフォームに追加します。

    echo &#39;<a href = "next_page.php？sid =&#39;。$ sid。 &#39;">続行</a>&#39;;

4. 次のページで、URLからセッションIDを読み、セッションを再開します。

    if（isset（$ _ get ['sid']））{
       session_id（$ _ get ['sid']）;
   }
   session_start（）;

   このアプローチにより、完全な制御が得られ、PHPの自動動作に依存しないようにします。必要に応じて、POSTリクエストまたはJavaScript変數(shù)を介してセッションIDを渡すこともできます。

   ---

   セキュリティ上の考慮事項

   URLを介してセッションIDを合格すると、いくつかのセキュリティ上の懸念が導(dǎo)入されます。

   • セッション固定：誰かがセッションIDを推測またはキャプチャした場合、ユーザーになりすまします。
   • 履歴リーク：ブラウザは、履歴、ログ、リファラーヘッダーのセッションIDを備えたURLを保存します。
   • キャッシュの問題：セッションIDを備えたURLは、プロキシまたはブラウザによってキャッシュされる場合があります。

   これらのリスクを軽減するには：

   • session_regenerate_id()を使用してログインした後、常にセッションIDを再生します。
   • セッションIDの公開を公開しないでください。
   • より良いセキュリティオプション（ HttpOnlyやSecureフラグなど）を提供するため、可能な場合はCookieを好みます。

   ---

   まとめ

   CookieなしでPHPセッションを使用することは実行可能ですが、慎重に処理する必要があります。 PHPの組み込みの透明なSIDサポートに依存するか、URLSまたはフォームフィールドを介してセッションIDを手動で管理できます。この方法は制限された環(huán)境では機能しますが、セキュリティと使いやすさの観點からトレードオフが伴うことを覚えておいてください。

   基本的にそれだけです。

   以上がCookieなしでPHPセッションを使用する方法は？の詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。