granty

Сессия - это Кука с именем PHPSESSID (по умолчанию, его можно изменить) и значением вида 8jae35cosacp2f5qv6g2uqe6i7. Все данные сессии (массив $_SESSION) хранятся на стороне сервера в файле с именем 8jae35cosacp2f5qv6g2uqe6i7 в формате JSON (можно хранить и в БД).
То есть, вам надо не дописывать 1, а угадывать это имя, что нереально.

У Куки можно установить флаг HttpOnly - такие Куки не видны браузерному коду (яваскрипту), а только отправляются на сервер. Внедрённый на страницу вряжеский яваскрипт не сможет получить доступ к такой Куке.

Куку можно перехватить во время передачи по сети, для защиты от этого есть механизмы:

- установить заголовок HSTS, это заставит браузер работать только по HTTPS, те Кука будет зашифрована при передаче по сети.

- в самой сессии можно хранить IP адрес(привязка сессии к IP). Тогда даже с правильной Кукой не залогиниться, поскольку не совпадет IP (который хранится в $_SESSION на стороне сервера). Неудобно если провайдер меняет IP при каждом переподключении.

- можно в сессии хранить User Agent (все равно Кука - она только для этого браузера). Но при автоматическим апдейте браузера придётся авторизоваться заново, и у кого хватило ума перехватить Куку - перехватит и имя User Agent-а.

- можно в сессии хранить fingerprint браузера (или даже всего компа), только надо придумать как безопасно передавать его на сервер, чтобы сохранять в сессии (и для сравнения при авторизации). Его же тоже могут перехватить.

- при каждой авторизации по Куке, и через каждые ## секунд можно(и нужно) делать session_regenerate_id (меняется 8jae35cosacp2f5qv6g2uqe6i7 на другое), там по ссылке есть пример как это сделать прямо внутри сессии. То есть, угнанная Кука быстро перестаёт работать.

- можно делать "сессионную" Куку (не указывать её время жизни). Такая Кука живёт до закрытия браузера, но после закрытия браузера придётся заново вводить логин/пароль

Можно добавить своей безопасности - например отправлять email пользователю при каждой авторизации по Куке, если не было активности Пользователя более 12 часов.

PS: Если пользоваться сессиями правильно - они достаточно безопасны, практически вся авторизация в интернетах построена на них.

В вашем файле post.php на входе вы имеете два параметра: $_GET['id'] и $_GET['language']
По $_GET['id'] вы лезете в БД и формируете статью для показа. Вам надо в верхней части post.php дополнительно сформировать ЧПУ-шную часть URL этой статьи (для этого и используется ваша seo_replace()), и сравнить его с $_GET['language']. Если они совпадают - отдаёте статью, если нет - делаете одно из 2-х:
a) Redirect 301 на правильный $URL, вы его уже сгенерили для сверки с $_GET['language']:

header($_SERVER["SERVER_PROTOCOL"].' 301 Moved Permanently');
header("Location: $URL");
exit;

или

б) Отдаёте 404 страницу:

header($_SERVER["SERVER_PROTOCOL"].' 404 Not Found'); exit;

Что лучше сделать - решайте сами, ибо такое псевдо-ЧПУ это всегда гемор.
- Недруги могут ставить на ваш сайт ссылки вида /post/4/erotika_bez_sms и по id=4 страница будет показываться. При редиректе такие ссылки приклеятся на статью, а по 404 - нет.
- при простановке внешних ссылок может обрезаться часть ссылки, но по Redirect 301 вы её подберёте, если сохранилась часть /post/4/.

Сессия в PHP - это практически те же ваши "куки + БД", только вместо БД используется файл сессии. Он будет свой для каждого пользователя.
Генерируется уникальный хэш (ID сессии), он садится пользователю в куки, а на сервере создаётся файл с именем == ID сессии. PHP все это делает сам.

В файле сессии (на сервере) хранятся все переменные, которые вы захотите. Когда поднимается сессия, PHP автоматически инициирует массив $_SESSION
с вашими переменными (Имя пользователя, IP пользователя, дата последнего логина, права пользователя и тп).

Под работу с сессиями в PHP есть встроенные функции, они не все работают очевидным образом, но разобраться можно.

PS: Если не поддерживаются куки, то ID сессии может передаваться как параметр в URL.

есть ли возможность в случае с сессиями сохранить пользователя к примеру на месяц?

Да. Ставите у сессионной куки время жизни 1 месяц, и через месяц браузер пользователя автоматически её уничтожит. После этого надо будет авторизоваться заново.
Но на сервере есть параметр настроек PHP session.gc_maxlifetime, который задает время жизни PHP-сессии на сервере. После истечения session.gc_maxlifetime PHP garbage collection удаляет файл сессии на сервере. То есть, его надо ставить > месяца.

какой вариант предпочтительнее

вопрос холливарный. Если есть надо мониторить пользователей (кто, когда и зашёл и что сделал) - по БД это удобнее, чем рыться руками по тысяче файлов.
В плане безопасности - одинаково, тк работает один и тот же механизм. Угон куков -> подмена сессии.

PS: На хабре есть неплохая статья Подводные камни использования сессий в PHP.

1. Со 100% точностью - невозможно.

2. Что в вашем понимании Яндекс.Бот? У Яндекса с десяток различных сервисов, которые самостоятельно лазят по сайтам с разными ЮзерАгентами, исполняют скрипты, применяют стили.
Я.Метрика - это Яндекс.Бот? Яндекс.Директ это Яндекс.Бот?

Определять по User Agent можно только роботов-индексаторов, и то не всех. Для индексации мобильной версии сайта, бот-индексатор приходит с User Agent настоящего мобильного устройства.
И парсеры сайтов часто приходят с Яндексовским или Гугловским юзерагентом.

Вычислять ботов по IP подсетей Яндекса тоже не даст 100% точности - роботы проверки на клоакинг приходят из "левых" подсетей, чаще всего из Корбины. И есть публичные Яндекс.прокси в "яндексовских" диапазонах IP, например, для режима turbo Яндекс-браузеров.

При 'Content-Type': 'application/json' массивы-обертки $_POST /$_GET на сервере не заполняются, так не присылается Имя_Параметра, а присылается только Значение_Параметра.
Сервер не может обработать такие данные автоматически ($_POST - ассоциативный массив, а имя_переменной не прислано).

Получить такие данные можно только через php://input

Михаил Миргородский,
1. Вы сравниваете 'http://' с 'https://' - строки явно не совпадут. Зачем вы добавляете схему, вам же надо только проверить доменное имя?


2. $_SERVER['REQUEST_URI'] содержит запрошенный путь на сайте и имя файла:

/                // запрос морды сайта
/config.php      // запрос скрипта на сайте
/upload/get.php  // запрос скрипта из папки

Зачем вы их добавляете в проверку? Они ни как не влияют на проверку доменного имени.


3. запрос к вашему сайту по HTTP/1.1:

GET /path/page.php HTTP/1.1   // относительный URL
Host: domain.ru

или:

GET http://domain.ru/path/page.php HTTP/1.1  // абсолютный URL с доменом
Host: любой_текст_тут

$_SERVER['HTTP_HOST'] всегда будет содержать значение из поля Host:. А там можно прислать что угодно, если в GET передаётся абсолютный URL с доменом. Спецификация требует игнорировать заголовок Host:, если в GET содержится абсолютный url - вы уверены, что ваш веб-сервер делает это?
$_SERVER['HTTP_HOST'] присылается пользователем, доверять ему нельзя. Там может быть и IP-адрес сайта - вполне легальный запрос при определённых настройках веб-сервера.


4. $_SERVER['SERVER_NAME'] устанавливается веб сервером и содержит имя домена из конфигурации вашего веб-сервера. Ему можно доверять, но есть и грабли. Вот кусок конфига Apache:

ServerName domain.com        # основной домен
ServerAlias www.domain.com   # домен с www
ServerAlias m.domain.com     # мобильная версия сайта

И, какое из этих 3-х имён пропадёт в $_SERVER['SERVER_NAME']?
Если в конфиге установлено UseCanonicalName On - в $_SERVER['SERVER_NAME'] всегда будет имя из ServerName конфига веб сервера.
Если нет - будет одно из этих 3-х имён - то, по которому была запрошена страница сайта:
http://www.domain.com/index.php -> www.domain.com
https://m.domain.com/images/upload.php -> m.domain.com
ws://domain.com/ajax/get.php -> domain.com

Голосование вторизованных посетителей
Термин "пользователь" подразумевает, что посетитель авторизован(залогинен) на вашем сайте каким-либо способом. Через соцсети или прямым вводом логина пароля (как на форумах или этом сайте).
В этом случае, Дмитрий Кузнецов выше уже ответил на ваш вопрос.

Вот, я: с домашнего ноутбука, с ПК на работе или со смартфона в метро по дороге домой - это для вас один и тот же пользователь?
Для сайта qna.habr.com - да, один и тот же. Потому, что мне надо залогиниться, чтобы совершать на этом сайте значимые действия.


Голосование неавторизованных посетителей
Если "лайкать" разрешено "неавторизованным посетителям" - вам предстоит нелёгкая борьба с накруткой лайков. Эта задача не решаема в полном объёме, все анонимные онлайн-голосовалки подвержены уязвимости накрутки.
Можно попробовать EverCookie, но тогда вы будете идентифицировать на самого "пользователя", у его комп/ноут/смартфон.
И такие "неубиваемые" куки нарушают закон ЕС о куках, то есть область их применения несколько ограничена.

PS: Тут уже была тема защита от многократного голосования, посмотрите что там посоветовали.

Для полноты картины - тематические ссылки на Хабр:
Борьба с накрутками в рейтингах - страшные математические формулы
Теория и практика накрутки голосов
Накрутка голосов в опросе на сайте крупной телевиз...

Использовать EventSource и Server-Sent Events (есть пример на PHP).
Описание использования server-sent events на MDN.

PS: IE/Edge не поддерживают эту технологию

Вы написали только страницу показа "селектов" из БД.

1. Ваши < select id="station"> и < select id="flats"> надо вставить внутрь < form action=''> ..., сделать в ней кнопку submit и отправлять значения выбранных селектов на сервер, а он уже по ним должен выбрать статьи из БД и возвращать страницу с результатами.

Надо добавить name='' к вашим селектам, по этим именам вы будете выбирать присланные в них значения из массивов $_POST/$_GET:
< select id="station" name="station"> и < select id="flats" name="flats">

2. Второй вариант - делать запрос к серверу на ajax (передавая значения выбранных селектов) и вставлять ответ от сервера на страницу.

Поройтесь в интернете, там примеров навалом.

PS: Потом вы столкнётесь с тем, что сначала посетитель должен выбрать < select id="station" name="station">, и в зависимости от выбранной станции ему должен динамически подгрузиться список < select id="flats" name="flats"> которые расположены рядом с этой станцией (а не все имеющиеся квартиры). Иначе теряется смысл выбора станции.
Короче, продумывайте архитектуру, читайте про ajax/XMLHttpRequest (проще всего будет писать яваскрипты с помощью библиотеки jquery).
Ида, примеров реализации этого в интернете навалом.