web-master
если я в скрипте при авторизации просто записываю id пользователя в сессию и просто потом проверяю эту сессию (авторизован/не авторизован) безопасно ли это, нельзя ли эту сессию подделать??
04 Янв 2011, 20:29web-master
если я в скрипте при авторизации просто записываю id пользователя в сессию и просто потом проверяю эту сессию (авторизован/не авторизован) безопасно ли это, нельзя ли эту сессию подделать??
04 Янв 2011, 20:29Fashion
поддолеть нет, вот только,если ты деактивируешь или удалишь юзера, он все равно будет авторизван
04 Янв 2011, 20:30Akdmeh
Нет, нельзя, разве что своровать куки, но обычно тогда 90% методов не помогают.
04 Янв 2011, 20:30Replikon
Не менее и не более безопасно, чем многие другие способы авторизации.
Но идентификатор сессии всегда украсть могут. Но это уже вина юзера.
Fashion
подделать сессию нельзя. ну если только где-то данные не фильтруются,перед записью в сессию
04 Янв 2011, 20:38OZ_
web-master, индентификатор сессии можно хранить в кукисах (или в строке запроса, если кукисы отключены).
Но только идентификатор. Содержимое сессии должно храниться у тебя. И тогда волноваться о возникновении странного случая, описанного Fashion, не придётся.
Удалять пользователей из таблицы нельзя, если есть столбец auto_increment. При восстановлении дампа это может вылиться в крупную ошибку.
