Любые советы по PHP-сессиям?

Question

Как я решил использовать сеансы вместо файлов cookie, хорошо ли установить session.use_only_cookies=0 в конфигурации php, также если он советует сохранить его?

Этот параметр заставляет PHP извлекать и использовать файл cookie для хранения и ведения идентификатора сеанса. Мы приветствуем эту операцию, так как это очень полезно для борьбы с захватом сеанса , когда вы не указали и не управляете своим собственным идентификатором сеанса. Это не конец, все это будет защита от захвата сессии, но это хорошее начало.

А также: полезно ли хранить информацию о сеансах пользователя в базе данных и проверять каждый раз, если она соответствует, например, $_SESSION['password'] и $_SESSION['id']? Может ли кто-нибудь посоветовать мне наилучшую практику для создания аутентификации на основе сеанса, пожалуйста?

Answer 1

Эта тема дает очень хорошее объяснение относительно использования Sessions для целей аутентификации: Proper session hijacking prevention in PHP

Edit: Эта страница объясняет много о PHP безопасности рядом с использованием Sessions: https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet#Authentication_and_Session_Management_Cheat_Sheet

Answer 2

Если вы передача идентификатора сеанса с помощью параметра GET позволяет легко украсть идентификатор сеанса даже случайно. Представьте, что вы отправляете ссылку на веб-приложение сотруднику, и он содержит идентификатор сеанса, а затем ваш сотрудник может «захватить» вашу сессию, даже не будучи хакером (или угонщиком).

Когда идентификатор сеанса хранится в файле cookie, этот вид захвата сеанса больше не может произойти.

Проверка учетных данных снова и снова здесь бессмысленна.