[PHP]Bezpieczeństwo sesji i przekazywania danych do metod Opcje

[Szymciosek]

Witam,
czy takie działanie jest bezpieczne ?

W login.php do sesji zapisuję Id aktualnie zalogowanego użytkownika.

[PHP] pobierz, plaintext 
$_SESSION['user_id'] = $user_id;
[PHP] pobierz, plaintext 

Następnie przy dodawaniu wpisu do bazy wyświetlam formularz i jeśli wszystko jest ok, wysyłam go.

coś w tym rodzaju.
addEntry.php

[PHP] pobierz, plaintext 
if (!isset($_SESSION['logged']))
            die ('Zaloguj sie!');
 
        if (isset($_POST['add']))
        {
            if (isset($_POST['message']))
            {
                $connect = new Connect;
                $connect->addEntryQuery($_SESSION['user_id'], $_POST['message']);
                //walidacja danych
                header("Location: thanks.php");
            }
            else
            {
                echo 'uzupelnij pola';
            }
        }
        else
        {
            echo '<form action="" method="post">
                <textarea cols="25" rows="5" name="message"></textarea><br />
                <input type="submit" name="add" value="dodaj" />
            </form>';
        }
[PHP] pobierz, plaintext 

Następnie te dane są przekazywane do klasy Connect

Connect.php

[PHP] pobierz, plaintext 
class Connect
{
    private static $PDOInstance;
 
    public function __construct()
    {
        if(!self::$PDOInstance) {
            try
            {
                self::$PDOInstance = new PDO('mysql:host=localhost; dbname=accept_system', 'root', '');
                self::$PDOInstance->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
 
            }
            catch (PDOException $e) 
            {
                die('PDO CONNECTION ERROR: ' . $e->getMessage() . '<br/>');
            }
    	}
      	return self::$PDOInstance;
    }
 
    public function addEntryQuery($user_id, $content)
    {
        $query = self::$PDOInstance->prepare("INSERT INTO `contents` (`id`, `user_id`, `content`) VALUES ('', :user_id, :content)");
        $query->bindValue(":user_id", $user_id);
        $query->bindValue(":content", $content);
 
        $query->execute();
    }
}
[PHP] pobierz, plaintext 

[CuteOne]

Jeżeli nie trzymasz w sesji danych wrażliwych (loginu, hasła itp) to Twój sposób jest jak najbardziej poprawny. Jedyne do czego, można się przyczepić to zapytanie do bazy w klasie, która ma się z nią tylko połączyć

Ten post edytował CuteOne 16.12.2012, 16:09:57

[Szymciosek]

Aż tak bardzo można się do tego przyczepić ? Myślałem, że skoro robię instancję klasy Connect, to śmiało mogę w niej wywołać potrzebne metody.

Przy okazji zapytam, bo chciałbym umieścić w pliku menu.php (taki mój header) informację o username czyli ten login. Tylko teraz skoro mam tego nie trzymać w sesji to co ? Token w bazie, token do sesji i porównywać i na tej zasadzie pobierać bezpiecznie dane z bazy i wtedy je wyświetlać ?