Как я решил использовать сеансы вместо файлов cookie, хорошо ли установить session.use_only_cookies=0
в конфигурации php, также если он советует сохранить его?Любые советы по PHP-сессиям?
Этот параметр заставляет PHP извлекать и использовать файл cookie для хранения и ведения идентификатора сеанса. Мы приветствуем эту операцию, так как это очень полезно для борьбы с захватом сеанса , когда вы не указали и не управляете своим собственным идентификатором сеанса. Это не конец, все это будет защита от захвата сессии, но это хорошее начало.
А также: полезно ли хранить информацию о сеансах пользователя в базе данных и проверять каждый раз, если она соответствует, например, $_SESSION['password']
и $_SESSION['id']
? Может ли кто-нибудь посоветовать мне наилучшую практику для создания аутентификации на основе сеанса, пожалуйста?
Значит, вы советуете использовать куки? Я беспокоился об этом из-за проблемы кражи идентификатора сеанса. – sleax
Да, вы должны использовать файлы cookie для хранения идентификатора сеанса. – hek2mgl
Я прочитал [здесь] (http://stackoverflow.com/questions/871858/php-pass-variable-to-next-page), что файлы cookie находятся далеко, чем безопасны. – sleax