Theo php.net: Có một số cách để rò rỉ id phiên hiện tại cho bên thứ ba. ID phiên bị rò rỉ cho phép bên thứ ba truy cập tất cả các tài nguyên được liên kết với một id cụ thể. Đầu tiên, URL mang id phiên. Nếu bạn liên kết đến một trang web bên ngoài, URL bao gồm id phiên có thể được lưu trữ trong nhật ký liên kết giới thiệu của trang web bên ngoài. Thứ hai, một kẻ tấn công tích cực hơn có thể nghe lưu lượng mạng của bạn. Nếu nó không được mã hóa, id phiên sẽ chạy trong văn bản thuần trên mạng. Giải pháp ở đây là triển khai SSL trên máy chủ của bạn và làm cho nó bắt buộc đối với người dùng.
Điều này đặt ra câu hỏi, làm thế nào để bạn có ID phiên nhưng không thể truy cập tập lệnh?
Bất kể, bạn sẽ cần đặt ID phiên và sau đó bắt đầu ... sau đó truy cập dữ liệu.
session_id($whatever_id_you_have);
session_start();
echo $_SESSION['somekey'];
Nguồn
2012-01-04 12:00:25
Chỉ có một câu trả lời cho biết làm thế nào để có được dữ liệu phiên sử dụng session_id. –