Задать вопрос
@apptimeru

Нужно ли проверять данные сессии при ajax запросе?

Добрый день знатоки, подскажите пожалуйста на сайте при каждой генерации страницы создается запрос в базу, по токену из куки проверяется авторизация пользователя, если токен совпадает, то в сессию сохраняются данные пользователя (просто чтобы не делать глобальных переменных). И так на каждой странице.

В общем возник вопрос, при генерации ajax запроса, в которых важно получить достоверные данные пользователя, нужно ли делать дополнительный запрос в базу? или можно вытащить из сессии? Другими словами можно ли подделать данные сессии из браузера например? Т.е. может ли пользователь поменять значение сессии ручками, как например куку?
  • Вопрос задан
  • 191 просмотр
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
skobkin
@skobkin
Гентушник, разработчик на PHP и Symfony.
Попробуйте вспомнить, где хранятся данные сессии и после этого возвращайтесь к своему вопросу.
Ответ написан
lepard
@lepard
function selfDevelopment() { selfDevelopment() }
В теории - да, другой пользователь может подделать данные. Но этот же шанс очень мизерный, если вы допустим используете 128-битное шифрование, что я не думаю, что кто-то будет их подбирать.
Ответ написан
KorniloFF
@KorniloFF
Работаю по font-end / JS
Чтобы подменить PHPSESSID админа, нужно как минимум его знать. Так что не думаю, что это реально - украсть у админа его PHPSESSID и успеть за текущую сессию им воспользоваться.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы