Можно ли менять куки?

Question

[Влад]

Скачал скрипт входа и регистрации короче))
Там в куки сохраняет только имя юзера. Это безопасно?
Такой вопрос: может ли пользователь в куки тупо изменить имя пользователя на другое? Ведь тогда сайт примет его за другого человека

Comments

[Maxim Colesnic]

Очень легко может. Посмотрите в сторону сессий )

[Влад]

Maxim Colesnic, а в сессиях можно поменять?)

[Maxim Colesnic]

Влад У вас получается только одна кука с идентификатором сессии (Который случайный) а на сервере по этому идентификатору вы можете выбирать остальные данные о пользователе

[Vladislav]

Влад, в сессиях нельзя

[Maxim Colesnic]

Влад, можно поменять и в сессионных куках, но дело в том что вы не знаете на какой, так как он случайный )

[Влад]

seeklay
Владислав

можете определиться?)

[Влад]

Maxim Colesnic, можно поподробнее?

[Влад]

То есть хранить имя юзера без пароля в сессии безопасно?

[Maxim Colesnic]

Влад Куки можно украсть - это да.
Значение куки можно привязать к ип и другим параметрам, то в этом случае кража не имеет смысла

[Maxim Colesnic]

Влад, при первом запросе пользователя считываете нужную ку-ку. Если. Ее нет , то генерируете ее на сервере и отдаёте пользователю, и запоминаете ее в БД а так же ип адрес пользователя. При последующих запросах считываете куку, вытаскиваете из БД строку с данными где она есть и сравниваете ип.

[Влад]

Maxim Colesnic, а можете дать ссылку на готовую систему?) Если она конечно есть

[Maxim Colesnic]

Влад Не думаю что вы такую найдёте, но существуют готовые решения для разного рода PHP фреймворков (Codeigniter, Yii2, Symfony).

[Maxim Colesnic]

seeklay, если они не привязаны к IP

Answer 1

[Maxim Colesnic]

Думаю вам достаточно будет нативных сессий PHP.
https://www.w3schools.com/php/php_sessions.asp

Answer 2

[FanatPHP]

Может