Oturum Kimliğinin Aktarımı

Bir oturum kimliğini yaymanın iki yolu vardır:

• Çerezler
• URL değiştirgesi

Oturum modülü her ikisini de destekler. Çerezler en uygunudur, fakat her zaman kullanmak mümkün olmadığından ikinci bir yöntem sağlıyoruz. İkinci yöntem, oturum kimliğini doğrudan URL'nin içine gömer.

PHP bağlantıları şeffaf olarak dönüştürme yeteneğine sahiptir. PHP 4.2.0 ve sonrasını kullanmıyorsanız, bunu PHP'yi derlerken kendinizin etkin kılması gerekir. Unix altında, configure betiğine --enable-trans-sid seçeneğini vermeniz gerekir. PHP bu seçenekle derlenmiş ve çalışma anında session.use_trans_sid yönergesi etkin kılınmışsa, göreli URI'ler özdevinimli olarak oturum kimliğini içerecek şekilde değiştirilirler.

Bilginize: arg_separator.output php.ini yönergesi değiştirge ayracının değiştirilebilmesini sağlar. Tam XHTML uyumluluğu için yönergeye değer olarak & belirtin.

Ayrıca, oturum başlatıldığında tanımlanan SID sabitini de kullanabilirsiniz. Eğer istemci uygun bir oturum çerezi göndermezse, SID sabiti oturum_ismi=oturum_kimliği değerini içerecektir. Aksi takdirde sabitin değeri bir boş dizge olur. Bu durumda, oturum kimliğini koşulsuz olarak URL'lerin içine gömebilirsiniz.

Aşağıdaki örnekte bir değişkenin nasıl oturum değişkeni haline getirildiği ve SID sabitiyle başka bir sayfaya nasıl bağlantı kurulduğu gösterilmiştir.

XSS saldırılarından kaçınmak için URL'ye SID yerleştirilirken htmlspecialchars() kullanılabilir.

SID sabitini URL'ye yukarıdaki gibi yerleştirecekseniz, PHP'yi --enable-trans-sid seçeneğiyle derlemeniz gerekmez.

Bilginize: Göreli olmayan URL'lerin harici siteleri işaret ettikleri varsayılır ve oturum kimliğinin başka bir sunucuya ifşa edilme riskine karşı SID bunlara yerleştirilmez.