Какую переменную сохранять в СЕССИИ для безопасности?

Question

[Денис Юламанов]

Какую переменную безопаснее всего сохранять в СЕССИИ? Или как безопасно сохранить переменную в СЕССИИ?

Comments

[twobomb]

Что значит безопаснее, вы так говорите будто сессии хранятся у клиента

[Денис Юламанов]

twobomb, Извини, а что, это не так? )) Просто я думал что СЕССИИ хранятся как куки... А что тогда хранится у пользователей?

[twobomb]

Денис Юламанов, Куки

[twobomb]

Денис Юламанов, Сессии хранятся на сервере, ты можешь даже выбрать где они будут хранится
P.S. Единственное что ты можешь хранить у клиента это session_id

[Денис Юламанов]

twobomb, Т.е я могу использовать любую переменную в СЕССИИ для логина пользователя(Любую уникальную)?

[twobomb]

Денис Юламанов, Можешь создавать какие угодно и сколько угодно переменных, ну учитывай что сессии обычно не вечные, не нужно хранить там важные данные.

[Денис Юламанов]

twobomb, Спасибо большое!

Answer 1

[Ищю в поисковиках]

Здравствуйте.

Прочтите эту статью: https://m.habr.com/ru/post/437972/

Несколько общих рекомендаций:
1. Передавайте в cookie как, можно меньше информации, т.к. cookie имеют ограничение длинны (у большинства серверов), выход за ограничение вызовет 502 ошибку.
2. Храните как можно меньше данных в сессиях. Сессии хранятся в файлах. Единовременно, может быть только одно обращение к файлу. Чем больше храните в сессиях, тем большее информации в них записано и тем дольше будет поиск по файлу сессий, что увеличит время блокировки и скорость загрузки сайта/приложения.
Redis/Tarantol/Memcached решают проблему, т.к. позволяют хранить сессии в оперативной памяти.