Задать вопрос
  • Нормально ли так делать?

    Подделать сессию == подделать куку индентификатора сессии. Если у злоумышленника есть куки сессии, то абсолютно все равно как в сессии вы храните авторизацию. Если их нет, то ему никак не поможет то, что в сессии просто флаг авторизации. По безопасности два этих способа - хранить auth=1 или какой-то там хэш ничем не отличаются. Ну можно с небольшой натяжкой сказать что auth=1 чуть безопаснее, потому что хэш вы-то от пароля храните, а значит в случае получения файлов сессии у злоумышленника есть гипотетический шанс попытаться восстановить пароль по хэшу, в случае если ему попадут в руки файлы сессий.
    Ответ написан
    Комментировать
  • Нормально ли так делать?

    Taraflex
    @Taraflex
    Ищу работу. Контакты в профиле.
    Может лучше просто записать что то в сессию, например, $_SESSION['auth'] = 1

    Да.
    Но ведь ее смогут подделать? Или такое нельзя делать?

    Не могут, пользователь знает лишь идентификатор сессии на сервере, изменить данные в ней он не может.
    Ответ написан
    Комментировать
  • Нормально ли так делать?

    @IceJOKER
    Web/Android developer
    Сессии хранятся на сервере, Куки хранятся на стороне клиента, т.е. к сессиям доступ может получить только лишь тот, кто может получить доступ и к самим файлам на сервере, а к кукам доступ может получить сам пользователь, вот они то и не безопасны.
    Это нормально, вряд ли у вас там 100500 тыс активных пользователей.
    Ответ написан