Запарился уже слегка, одни говорят на сессиях, другие на куках, дак как же все таки реализовать её?
Покачто у меня так:
при успешном вводе пары - логин, пароль пишу в сессию:
id
login
loggined_in - true
Установил время жизни сессии месяц, сохранил в директории.
Проверяю авторизован ли logined_in === true (знаю что if(logined_in) тут для наглядности написал).
Установил время жизни и сохранил - для того, чтобы не нужно было вводить логин,пароль каждый раз, как бы запомнить пользователя и все.
По сути вы используете куки, ведь ID сессии хранится и передается серверу через куки с каждым запрсом. Впринципе, нормальный подход - используйте сессии и дальше. В чем ваша проблема?
Да, но подменить ID сессии намного труднее чем подменить куки.
Моя проблема в том, что я не уверен, нормально ли это вообще?
Спросил просто у знакомых, и почти каждый сказал, делать на куках и сверять каждый раз с бд, но зачем такой подход, зачем эти излишние запросы к бд и т.д...
Banny_Boom: все зависит от ваших требований к безопасности - если использовать просто сессии, то существует шанс, что кто-то сможет подобрать чужую сессию (не уверен на сколько это действительно вероятно). В то же время, это самый простой для вас способ. Разницы с методом, который вам предлагают в том, что при кастомной реализации через куки вы сами занимаетесь валидированием того, что вам в куках передается, с сессиями - никаких дополнительных валидацией нет, ведь сессия просто определяется по кукам (PHPSESSID).
