我正在编写一个WordPress插件来处理第三方API。

此API需要向其传递会话标识符，以便API（基本上起到第三方购物车的作用）知道要在何处添加哪些项目-同样，请将其视为购物车。

我想在WordPress用户的会话中存储此会话标识符。想法是连接到此API，请求会话标识符，然后将其存储在WordPress/PHP会话中，这样我就可以在他们浏览站点并向第三方购物车添加更多项目时重用它。我认识到这并不理想（为什么不直接使用WooCommerce呢？）但我们需要一些只有第三方才能提供的附加功能和数据。

不管怎样，当我尝试这样做时，我从我们的主持人那里找到了：https://wpengine.com/support/cookies-and-php-sessions/

我承认我感到非常困惑。

因此，PHP会话和函数session_start() 和session_id() 不建议使用，并且无法在此主机上运行-。。。我们的系统专门忽略定义PHPSESSID cookie的头

但正如那里的文件所指出的那样——IF PHP SESSIONS ARE A TYPE OF COOKIE, WHAT’S THE PROBLEM?

在我看来，这些医生并没有回答这个问题。

上面写着：

使用PHP会话时最大的冲突与唯一的会话标识符有关。因为每个用户的标识字符串都是唯一的，所以每个访问您站点的新用户都会使用此“busts cache”。这种系统不会与许多并发站点用户一起扩展！考虑到这一点，我们的系统专门忽略定义PHPSESSID cookie的头。

我的问题是，他们所倡导的会话不是这样吗？这些会话仅仅是通过一个不同的cookie来完成的，然后通过cookie连接到数据库？

他们说：

事实是，有一种更好的方法来存储用户会话数据！正确的方法是使用数据库存储会话数据。WooCommerce和其他电子商务解决方案已经转换为在传统PHP会话上使用此方法，并且还使用自己的cookie命名约定

这些文档继续：

除了性能和扩展方面的影响之外，PHP会话还存在其他问题。默认情况下，PHP会话将数据作为自己的唯一文件存储到文件系统中。将数据写入文件是一个I/O过程，如果您的站点有太多并发用户，这类过程会备份并导致高服务器负载。更不用说，如果您的站点位于跨多个web服务器的群集解决方案上，这种会话存储根本不起作用。

为什么这比将会话存储在数据库中更糟糕/更好？这不也是I/O吗？

我试图理解——为什么默认的PHP会话被认为是不好的，而WooCommerce会话被认为是好的？我已经调查了WooCommerce source code on sessions, 但我在这方面经验不足，无法解释为什么他们所做的可以避免主机文档中提到的漏洞。

具体而言：

围绕PHP会话存在多个安全漏洞。漏洞包括暴露会话数据、会话固定和会话劫持。

WooCommerce如何在PHP会话没有的情况下缓解这种情况？对于我的用例，什么是可取的？

显然，我不想要不安全的会话，但开发会话管理器/cookie/数据库连接，就像Woo所做的那样，需要一些时间。因此，在我投入时间避免PHP会话之前，我试图理解为什么/是否有必要进行复制。