Может ли злоумышленник изменить значение переменной в сессии yii2?
Здравствуйте. У меня интернет магазин построен на сессиях. Добавляю в корзину товар - создаётся сессия, и записываются туда данные. Вот у меня созрел вопрос: может ли злоумышленник изменить значение переменной сессии, к примеру, "сумма заказа" на свою? То есть, добавил он себе в корзину несколько товаров, общая сумма вышла на 1000 рублей, а потом взял и изменил в сессии значение суммы на 1 рубль.
В сессии записываются данные, которые берутся из бд, но потом же они, сессии, с бд никак не взаимодействуют, живут отдельно.
Подскажите, я где-то ошибаюсь?
sessions - хранятся на сервере.
cookies - хранятся на клиенте.
Подменить сессию врятли сможет. Но логика построена не правильно, вы должны хранить в сессии только ид товара и количество. А при покупке - затрагивать данные из БД.
Вдруг человек добавит товар в корзину, а вы цену поменяете, тогда он по старой купит?)
Заноси всё это в бд .
Вот допусти есть Вася , его id к примеру 7477545 , он добавил в корзину 4 товара на сумму 1к руб . Ты всё это заноси в БД , если он передумал покупать и удалил их из корзины просто удали записи , если добавил ещё что то , редактируется записи в БД .
Чем плоха это реализация сэр ?
dev400: даем ему временный id , там сохраняем его ip , если он повторно зайдет с того ip то в корзине остановится те же товары или добавляем в куки ID его корзины и также заносим в базу .
Jony1337: отличная идея. у всех же есть свой ip и он никогда не повторяется. И плевать можно на пользователей 3g-4g сетей, у которых один ip на 100-200 человек. А бд дёргать тоже классная идея!
qqignatqq: ну ip и ip.... Прям серебряная пуля были у всех эти ip белые тогда и все было супер.
Неужели нельзя идентифицировать по хешу. Зашёл в магазин влепи ему Куку и пиши че он там делает в базу от туда и будет инфа от чего отталкиваться.
Средний
