Estoy usando PHP 4+ y estoy trabajando en un proyecto de osCommerce, donde me encuentro con la identificación de la sesión en la url, así que solo necesito saber, ¿es una buena práctica mostrar la identificación de la sesión en la url? Si es así, ¿por qué? y si no, ¿por qué? y ¿cómo puedo ocultar la identificación de la sesión en la url y usar cualquier cadena sustituta allí en la url?¿Es una buena práctica mostrar la identificación de la sesión en la url?
No tiene sentido poner una cadena sustituta allí - el punto es que si está utilizando el seguimiento de sesión impulsado por URL en lugar de por cookie, lo que está en la URL debe identificar la sesión. Ya sea que sea la identificación de la sesión real o algo de lo que pueda derivarse, no está ni aquí ni allí; no estás haciendo las cosas más seguras ofuscando.
Si es una buena idea, depende en parte de la seguridad adicional que la rodea. Si puede tomar una URL incrustada de sesión de una máquina a otra y continuar como si fuera el mismo usuario en la misma sesión, entonces no, no lo es. Pero necesita saber más sobre el sitio detrás de todo para responder la pregunta.
Los ID de sesión de URL se usaron cuando las cookies no se admitieron/habilitaron ampliamente. No creo que haya ninguna justificación para usarlos hoy. Se ven feas, no son amigables para el usuario (no se puede simplemente ingresar la URL y esperar iniciar sesión), y son riesgos de seguridad ya que (aunque no son necesariamente vulnerables por sí mismos) hacen que las vulnerabilidades de secuestro de sesión sean mucho más fáciles de explotar.
Los ID de sesión controlados por URL matan su SEO además de ser un riesgo de seguridad importante. Mantenga sus ID de sesión en las cookies. –