Всем привет.
Писал сайт, только сейчас задумался о безопасности...
Авторизация происходит стандартным образом сверяются логин и пасс шифрованные по базе, если всё кул, то в сессию пихаем id юзера из базы и кое какую инфу...
допустим id юзера в базе = 3 пихаем в
1. imper - 10 Апреля, 2014 - 18:41:22 - перейти к сообщению
вообщем вся суть:
я везде проверяю
вот в чём прикол, можно же спереть из куки идентификатор сессии и зайти под пользователем с id = 3 ???!!!!
без особых усилий
если так то время жизни сессии ставить маленькоенебольшое? и каждый раз не просто вставлять id а шифровать id и добавлять новую сгенерированную строку??