Mam taki mały dylemat, mam jakiś tam kodzik, który odpowiada za autoryzacje usera no i wszystko wyglądda tak:
- użytkownik wprowadza dane z formularza
- dane są sprawdzane jesli są ok wysylane są ciastka czy tam sesja do usera

i teraz kolejny krok wygląda tak ze jeśli istnieja dane do logowania w sesji czy ciastku wprowadzać je do funkcji sprawdzajacej poprawność danych czyli za kazdym requestem usera dane są sprawdzane czy wystarczy tak że jeśli istnieje ciatko z login i hasłem to po prostu puścić usera dalej i pomijać sprawdzanie wartości ciastek.

Do tej pory stostowałem to pierwsze rozwiązania czyli za kazdym razem sprawdzane są dane z ciastek czy sesji ale tak się zastanawiam czy jest to konieczne

Witam,

nie trzymasz tego w ciastku, tylko w sesji - wtedy jest bezpieczniej. Nie ma raczej potrzeby sprawdzania danych za kazdym razem. Co najwyzej:

[PHP] pobierz, plaintext 
<?php
if($_SESSION['zalogowany'] === true) {}
?>
[PHP] pobierz, plaintext 

Adrian.

nie wrzucaj do ciastek loginu i hasła. Wystarczy drobny zabieg i można sobie to przejąć. Najskuteczniejszym sposobem (choć nie idealnym) jest wpisywanie do ciastka jedynie numeru sesji (czyli albo korzystasz z sesji php, albo sam generujesz unikalny klucz sesji). I pozniej sprawdzasz czy taki klucz istnieje, jak istnieje to logujesz kolesia.
Klucz oczywiście wrzucasz do bazy. (jeśli sam go generujesz).

do sesji czy ciastka fakt login niepotrzebnie wrzucam ale pass jest tam trzymany jako wynik działania md5, dzięki za uwagi