Passer l'identifiant de session (session ID)

Il y a deux méthodes de propagation de l'identifiant de session :

Cookies
Par URL

Le module de session supporte les deux méthodes. Les cookies sont optimaux, mais comme ils ne sont pas sûrs (tous les internautes ne les acceptent pas), ils ne sont pas fiables. La seconde méthode place l'identifiant de session directement dans les URL.

PHP est capable de faire cela de manière transparente. Si l'option de compilation session.use_trans_sid est activée, les URLs relatives seront modifiées pour contenir l'identifiant de session automatiquement.

Note:
L'option arg_separator.output de php.ini permet de personnaliser le séparateur d'arguments. Pour être complètement en accord avec les spécifications XHTML, spécifiez & ici.

Alternativement, il est possible d'utiliser la constante SID qui est définie si la session a commencé. Si le client n'envoie pas un cookie de session approprié, il aura la forme session_name=session_id. Sinon, il vaudra une chaîne vide. Ainsi, il est possible de l'inclure dans tous les cas dans l'URL.

L'exemple suivant montre comment enregistrer une variable et comment réaliser un lien correct avec une autre page, avec SID.

Exemple #1 Compter le nombre de passages d'un utilisateur sur une page

<?php

session_start();

if (empty($_SESSION['count'])) {
   $_SESSION['count'] = 1;
} else {
   $_SESSION['count']++;
}
?>

<p>
 Bonjour visiteur, vous avez vu cette page <?php echo $_SESSION['count']; ?> fois.
</p>

<p>
 Pour continuer, <a href="nextpage.php?<?php echo htmlspecialchars(SID); ?>">cliquez ici</a>.
</p>

La fonction htmlspecialchars() est utilisée lors de l'affichage du SID dans le but de contrer les attaques XSS.

L'affichage du SID, comme montré dans l'exemple ci-dessus, n'est pas nécessaire si --enable-trans-sid a été utilisé pour compiler PHP.

Note:
Les URL non-relatives sont considérées comme externes au site, et ne recevront pas le SID, car la fuite du SID vers un serveur différent présente un risque de sécurité important.