Всем привет!
Давно работаю на php и всегда храню важные данные залогиненных пользователей в сессиях
В том числе когда пользователь логинется задаю $_SESSION['online']=true
А при совершении важных операция, проверяю чтобы online был равен true
И я задумался, а безопасно ли это? Не может ли пользователь как-то легко воздействовать на содержимое сессии?
Ведь в отличии от cookies, данные сессии находятся на сервере, ведь так?
Если же сессии не безопасны, прошу предложить варианты безопасного решения
Ну это понятно
Будем думать что приложение надежное)
Тут вопрос скорее в другом - надо ли проверять логин/пароль пользователя (которые хранятся в сессии) на правильность перед совершением важных операций?
Может ли пользователь как-то подменить к примеру свой ID в сессии?
Ведь если он подменит ID, а мы не проверим актуальность этого ID, то злоумышленник может к примеру списать деньги с чужого аккаунта
Это не будет хорошо :(
lightalex: оне не может подменить, только ваш PHP код способен изменить сессию, если у вас кривой код позволяющий через дыры изменять сессии тогда говорить о том на сколько надежны сессии глупо вопрос уже будет стоять на сколько надежен код ПХП или на сколько вменяемый программист но не сессии
Ну я же говорю, берем за аксиому что код надежный)
Меня интересовала техническая сторона проблемы
Ведь cookies можно менять
А session не клиентская часть, поэтому и написал сюда чтобы точно убедиться
Спасибо!
