L'utilisation de la session passe en générale toujours par un cookie.
En PHP l'ouverture d'une session génère la création d'un identifiant unique du visiteur, mais pour suivre sur les pages suivantes de quel utilisateur il s'agit il faut que le navigateur continue d'envoyer à chaque page l'identifiant qui a été généré à l'ouverture de session. Ce passage peut se faire soit par URL (?session_id=123456789) soit par cookie.
La configuration de PHP par défaut créé systématiquement le cookie, et le passage par URL est dangereux.
En effet, si quelqu'un attrape l'URL de l'utilisateur, il peut très facilement lui voler sa session en utilisant son identifiant.
(bon, un vol de session peut se faire même avec le cookie, mais c'est un peu moins facile on va dire).
En PHP l'ouverture d'une session génère la création d'un identifiant unique du visiteur, mais pour suivre sur les pages suivantes de quel utilisateur il s'agit il faut que le navigateur continue d'envoyer à chaque page l'identifiant qui a été généré à l'ouverture de session. Ce passage peut se faire soit par URL (?session_id=123456789) soit par cookie.
La configuration de PHP par défaut créé systématiquement le cookie, et le passage par URL est dangereux.
En effet, si quelqu'un attrape l'URL de l'utilisateur, il peut très facilement lui voler sa session en utilisant son identifiant.
(bon, un vol de session peut se faire même avec le cookie, mais c'est un peu moins facile on va dire).