Смотрю гайды по созданию формы авторизации везде после успешной проверки логина/пароля в сессиях сохраняют только айди пользователя. Таким образом я в личном кабинете могу по айди из сессий получить данные. А если подменить эту сессию? То я могу получить доступ к данным другого пользователя. Как это правильно делается? Нужно в сессиях сохранять хеш пароля и логин и каждый раз проверять его?
У пользователя есть доступ только к куки, сессия исключительно на серверной стороне, поэтому её подменить не получится, а вот в куки как раз таки и хранятся логин и хэш пароля
Ruslan Ruslanov, Зависит от реализации. По стандартам PSR да, да и в современных фреймворках его используют. Но на данном этапе обучения, автору хватит и этого :)
