Никогда не передавайте SESSION идентификаторы через URL, даже если шифруется (хотя это странно, и до сих пор весьма небезопасно). Перенос идентификаторов SESSION давно устарел PHP (session.use_trans_id = 0). Идентификатор сеанса автоматически передается браузером, вам не нужно вообще об этом заботиться.
Единственный прецедент может быть, если вы хотите принудительно разрешить браузеру с отключенными куки-файлами, тогда вам нужно будет добавить такой параметр ко всем ссылкам (имитируя устаревший bahaviour). Однако:
- было бы еще большая угроза безопасности, так как в основном злоумышленники и вредоносный webbots отключить кук,
- шифрования ни в каких целях не имеет смысл сог строка не может быть еще угнала и сервер будет расшифровывать в исходный идентификатор сеанса
Таким образом, вы просто вытаскиваете идентификатор пользователя, хранящийся в сеансе, и не беспокойтесь о передаче идентификатора сеанса по URL-адресу.
Существует большая разница между идентификатором сеанса и идентификатором учетной записи пользователя, который хранится в сеансе. Что ты конкретно имеешь ввиду? – jeroen
, когда пользователь входит в систему. Я храню идентификатор своей учетной записи в сеансе, поэтому я могу запросить базу данных, не передавая идентификатор своей учетной записи со страницы на страницу. Надеюсь, что имеет смысл – simmo
Идентификатор сеанса хранится в файле cookie или распространяется по URL-адресу. Вы использовали общедоступный ключ для шифрования того, что даже не нужно передавать через URL (какой-то идентификатор администратора). Это не имеет смысла, не так ли? –