Хранение авторизации.

 
0
 
PHP
ava
Predator199 | 18.03.2013, 21:48
Информацию об авторизованном пользователе я храню в сессии.
Скажите что лучше, хранить в сессии или куках.

Вопрос. К примеру я авторизовался. На стороннем сайте поменяю id usera. Зайду вновь на данный сайт и буду авторизован как другой пользователь?
С куакми тож можно такое провернуть? 
Kommentare (2)
ava
Чучмек | 18.03.2013, 21:11 #
Кук хранится у пользователя. Сессия на сервере, у пользователя - только идентификатор сессии. Что тебе больше подходит - решай сам.
Не храни в куках то,к чему пользователь не должен иметь доступ.
ava
odminchek | 20.03.2013, 21:41 #
Храни инфу об авторизованном пользователе в сессиях, а в куках - инфу о том, как можно залогинить пользователя без показа окошка авторизации.
Другими словами - в куках лежит user_id и hash (sha256-хэш произвольной строки). Неавторизованный юзер загружает страничку, мы смотрим его куки. Если его hash совпадает с hash'ем у юзера с тем-же user_id в базе, и ip юзера совпадает с полем lastIp (например) в базе, то мы пишем в сессию инфу о том, что юзер авторизован. Вопросы?
Registrieren Sie sich oder melden Sie sich an, um schreiben zu können.
Unternehmen des Tages
Вы также можете добавить свою фирму в каталог IT-фирм, и публиковать статьи, новости, вакансии и другую информацию от имени фирмы.
Подробнее
Mitwirkende
advanced
Absenden