Criptografia em Session

Outro dia esta conversando sobre session em PHP com um amigo meu, e o mesmo disse que criptografava suas sessões. Eu sei que os dados de sessão são gravados em cookies, mas é realmente eficaz criptografar sessão ?

Na verdade, os valores das sessões não são armazenadas nos cookies. Apenas a sua "chave de identificação". :-)
Se não me engano, os valores das sessões são guardados no próprio servidor.

Corrijam-me se eu estiver errado. ;-)

Isso mesmo somente a chave que identifica a session que é guardado em cookie.

Agora uma pergunta. Desabilitei completamente os cookies do navegador (IE) e o mesmo não grava session de jeito nenhum.

Como resolver isso, já que tem gente que ainda morre de medo de um simples cookie gravado em seu micro?

Sei que tem um esquema de PHPSESSID que contém o hash de identificação da sesion e que posso prologar por GET.

Mas como verifico o GET na minha aplicação ?

$_GET['PHPSESSID'] == session_id() ???? Somente isso?

Para não ter que usar o cookie, você passa o ID da sessão como parâmetro na URL, exemplo: pagina.php?PHPSESSID=id_da_sessão (o PHPSESSID é o default, mas pode ser mudado)

Você pode mudar no php.ini o valor de session.use_cookies, deixando 0. Assim, ele não usará cookies para gravar o ID da sessão no lado do cliente.

O ruim disso, é ter que colocar em todas URLs algo como: "<a href=\"minhapagina.php?PHPSESSID=" . SID . "\">Página</a>". A constante SID é pré-definida e contém o ID da sessão.

Uma solução: compilar o PHP com a opção --enable-trans-sid, que faz com que as URIs ligadas sejam automaticamente mudadas para conter a id de sessão.

Mais informações em: http://br.php.net/manual/pt_BR/ref.session.php :-)

[]'s

Eu já trabalho com SESSAO mas não entendia como poderia ser usado sem o identificador no cookie.
E não sabia da existência da SID.

Muito legal mesmo!

Valeu.