Php 在url中显示会话id是否是一种良好的做法？

我正在使用PHP4+，我在osCommerce的一个项目中工作，在那里我遇到了url中的会话id，所以我只需要知道，在url上显示会话id是一种好的做法吗？如果是，为什么？如果没有，为什么？如何在url中隐藏会话id并在url中使用任何替换字符串？

在url中放置替换字符串没有意义-问题是，如果您使用的是url驱动而不是cookie驱动的会话跟踪，url中的内容必须标识会话。不管它是实际会话ID还是可以从中派生出来的东西，都不在这里，也不在那里——通过模糊处理，你不会使事情变得更安全

---

这是否是一个好主意部分取决于它周围增加的安全性。如果你可以将一个会话嵌入URL从一台机器转移到另一台机器，然后像同一个用户在同一个会话中一样继续，那么不，它不是。但是你需要更多地了解它背后的站点才能回答这个问题。

URL会话ID是在Cookie不被广泛支持/启用时使用的。我认为今天没有任何理由使用它们。它们看起来很难看，对用户不友好（你不能只键入URL并期望登录），它们是安全风险，因为（尽管它们本身不一定容易受到攻击），它们使会话劫持漏洞更容易被利用。

URL驱动的会话ID除了是一个主要的安全风险外，还会杀死你的SEO。将会话ID保存在cookies中。