Какая должна быть правильная авторизация?

Question

[alex-vod]

Не будет ли считаться ошибкой, если я авторизую пользователя по его id. Например, есть форма с полями для логина и пароля, сравниваю их с теми что есть в базе данных и если совпадают, то записываю в сессию $_SESSION['auth']='1';
А дальше проверяю так:

if ($_SESSION['auth'] == '1') {
echo 'Вход';
}
else {
echo 'Выход';
}

С точки зрения безопасности правильно ли это? Как сделать по другому?

Answer 1

[IceJOKER]

главное не храните это в куках, а то можно вручную там прописать auth=1 и вуаля.
Можете к примеру сохранить id и хеш = пароль + соль, а дальше уже проверять, есть разные варианты.
СЕССИИ хранятся на вашей стороне, поэтому они более менее безопасны

Comments

[alex-vod]

Речь как раз о сессиях. Так мой вариант правильный или нет?

[IceJOKER]

alex-vod: возможный вариант, но не "правильный". я вам уже объяснил, что сессии хранятся на вашем сервере , но если допустить вариант, что человек смог установить сессию(дыра в скрипте к примеру), то тогда это не хороший вариант. А если хранить там хеш, то это намного безопаснее

[alex-vod]

IceJOKER: спасибо, понятно. Не могли бы вы еще подсказать по другому схожему вопросу Правильно ли так делать? если не затруднит.

[alex-vod]

Владислав Турчинский: получается что значение сессии на сервере, а ее номер в куки? Но если этот номер сессии получить из куки то он же ничего все равно не дает злодеям?

[alex-vod]

Владислав Турчинский: я имел ввиду, что каждая сессия имеет свой id ведь так? А этот id этой сессии записывается в куки браузера. Само значение сессии хранится на сервере. Сессия определяется по этому id их куков. Я правильно понял?

[alex-vod]

Владислав Турчинский: спасибо:) вроде доперло до бомбука)