Я провел некоторое исследование StackOverflow о том, как правильно настроить сеансы и предотвратить захват и т. Д. Я нашел ответ, который кто-то опубликовал на один из вопросов, и он предоставил следующий код:
Когда пользователь входит в систему и имя пользователя и пароль совпадают
$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] .''. $_SERVER['REMOTE_ADDR']);
Проверка входа пользователя в систему для защищенных страниц:
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] .''. $_SERVER['REMOTE_ADDR'])) {
session_destroy();
header('Location: login.php');
exit();
}
Вроде работает нормально, но у меня вопросы: насколько это безопасно, хороший ли это метод или стоит попробовать что-то другое? У поста не было голосов или чего-то еще, поэтому не уверен, что он хорош.
Также не уверен, как получить информацию о пользователе с этой сессией.. нужно ли что-то хранить в базе данных?
Благодарю вас!