Разрабатываю сайт. При входе/регистрации в переменную $_SESSION записывается необходимая информация о юзере. Когда происходит какой-то AJAX запрос, например, редактирование профиля, сервер всегда проверяет $_SESSION, чтобы понять, может ли вообще этот пользователь редактировать этот профиль или нет и авторизован ли юзер вообще.
Я разрабатываю чат. Допустим на сервер приходит вот такая информация:
{
user_from_id: 1,
user_to_id: 2,
message: 'Привет!',
}
Как быть? Как проверить, что user_from_id это именно тот пользователь, что отправил сообщение. Ведь запрос элементарно подделать.
Знаю о варианте с Symphony Session, но у меня нигде Symphony не используется на сайте. Как быть?
Или же можно это проверить как-то иначе?
Я думал вот о каком варианте:
Присылать на сервер PHPSESSID, искать файлик (да, у меня не в бд хранятся сессии), который относится к присланному PHPSESSID и смотреть, что там. Но чувствую, что это плохое решение.
Средний
