Возможный дубликат:
фиксация/перехват сеанса PHP
Я много и интенсивно использую $_SESSION
superglobal.
Однако ситуация такая:
После того, как пользователь зарегистрирован, я хочу отслеживать его идентификатор (таблица MySQL). Я могу легко вставить идентификатор в $_SESSION['id'] = $user_id;
В конце концов, я могу использовать эту переменную на всех страницах своего сайта. Что у меня на уме, так это то, что пользователь может обмануть идентификатор другого. Если бы я увидел, что это простое число, я мог бы немного изменить его и посмотреть, что произойдет — я хочу предотвратить это, поскольку это может вызвать много проблем, поскольку идентификатор пользователя будет использоваться для добавления, удаления и редактирования записей внутри базы данных. .
Достаточно ли session_regenerate_id()
для защиты моего сеанса от взлома?
Вывод: Cookie хранит только идентификатор сеанса — все значения находятся на сервере и никогда не передаются на сторону клиента. Прочитайте о фиксации/перехвате сеанса на StackOverflow
$_SESSION
, отправляются клиенту? - person Chris Eberle   schedule 17.10.2011