[PHP] System logowania Opcje

[lsrtb]

Jaki będzie najlepszy sposób na system logowania? Gdzie zapisywać dane? Chodzi o bezpieczeństwo, tak żeby nikt nie mógł w jakiś sposób podszyć się na konto użytkownika. Wystarczy tylko zapisywać do zmiennej globalnej $_SESSION? Chcę mieć dostęp po zalogowaniu do takich danych jak: nick, typ konta, aktualny adres IP. Proszę o jakieś pomysły, kod napiszę sam. Głównie chodzi mi o 100% bezpieczeństwa.

Ten post edytował lsrtb 10.01.2016, 14:05:57

[goartur]

Tak sesja ci moze pomoc w tym, uzywajac sesji zapisujesz jakies dane w niej a nastepnie sprawdzasz ich zawartosc. Oczywiscie sesje nie sa w 100% bezpieczne bo cookie sesji zapisanej na twoim komputerze zawsze zostac wykradzione.
Wiecej na ten temat poczytasz tutaj: Hijacking

Konkluzyjnie rzecz biorąc używasz sesji aby je zabezpieczyc polecam uzycie funkcji:
session_regenerate_id()

Ten post edytował goartur 10.01.2016, 14:18:44

[viking]

Może pomoże https://en.wikipedia.org/wiki/Session_fixation

[lsrtb]

A dane z sesji mogę podejrzeć gdziekolwiek, np. użytkownik zobaczy w przeglądarce?

Jeśli tak, to co zrobić, żeby zapisać jakąś daną, żeby w ogóle nikt jej nie widział, czy to możliwe?

[viking]

W przeglądarce dane istnieją w postaci COOKIE a zawartość tych może być dowolnie zmieniana i oczywiście czytana. Niech cookie będzie tylko łącznikiem trzymającym id sesji, po stronie serwera zapisane w bazie/pliku.