0
Captchaなどを使用してユーザーが人間であることを検証するショッピングカートを開発しています。不正確な提出は残念ながらヘッダーのリダイレクトとセッションとセキュリティの維持
<?php header('Location:https://mysite.com/cart.php?PHPSESSID=mysessionid'); ?>
により、ユーザは、元の確認ページにリダイレクトされる受信されたとき、私はURLにセッションIDを送信しない場合、私は、ページ内のすべての私のセッションデータを失うと(のsession_start呼び出し)新しいセッションを開始します。 PHPではこれがこれを行う唯一の方法だと思われます。この方法は、ユーザーがURLを使用して取得したセッションIDを使用してセッションをハイジャックする可能性があるため、少し不安です。これは、ユーザーが自分のサイトを離れて、次に参照したサイトの参照ページとして上記のURLを記載することによって実行できます。この変数を非表示にする良い方法はありますか?この情報をオープンスペースに出して、セッションをハイジャックするための媒体をすべて同じスペースにすることは、非常に大きなリスクのようです。読んでくれてありがとう!
セッションIDにCookieを使用しないでください。 – Gumbo
これは通常、ブラウザがCookieを受け入れない場合(多分この特定のサイトの場合)、またはセッションクッキーが無効になっている場合に発生します。とにかく_every_ヘッダの正しい表記は、 'Name:Value'ではなく' Name = Value'です。 – KingCrunch
@KingCrunch:いいえ、[ヘッダーフィールドの構文](http://www.w3.org/Protocols/rfc2616/rfc2616-sec4.html#sec4.2)は実際に 'field-name 'です:" [field-value ] 'while * field-value *は空白で始まることがあります。 – Gumbo