Аарон Харун имеет правильный ответ для вас. В основном нет необходимости шифровать такие данные, пока вы храните их в сеансе, поскольку эти данные никогда не достигают клиента/браузера/пользователя, так как все они серверные. Когда вы создаете сеанс на PHP, он обрабатывает файлы cookie для вас, поэтому вам не нужно беспокоиться об этом. В большинстве случаев нет необходимости обрабатывать файлы cookie. В безопасности использование куки-файлов вредно.
Я видел несколько неаккуратных сайтов, которые фактически хранят имя пользователя в скрытом поле в форме, что позволяет кому-либо просто редактировать свою локальную копию этой формы и предпринимать действия в зависимости от того, какой пользователь им нравится. Это кажется очевидной проблемой, но файлы cookie не лучше.
Если вы действительно считаете, что это хорошая идея для разработки системы проверки подлинности доморощенного, вам необходимо сначала создать базу данных. Не храните незашифрованные пароли, вместо этого сохраняйте хэш (например, md5, sha-1 и т. Д.), И в этот момент нет никакого вреда в создании соли для каждого пароля (случайная строка, которую вы добавляете к паролю пользователя перед его хэшированием, и сохраните эту соль с помощью хэша пароля, потому что вам это понадобится позже - это предотвратит атаки хеш-словаря, то есть радужные таблицы).
Что вы хотите защитить от этого? –
Люди, которые могут попытаться легко прочитать cookie для информации о пользователе ... – mattsven
Итак, вы хотите защитить конфиденциальность ваших данных (ее нельзя прочитать третьим лицам), а не целостность ваших данных (изменения данных будут быть обнаружен), правильно? – Gumbo