Здравствуйте! Может ли юзер как-то подделать сессии? Может вопрос глупый, т.к. сессии хранятся на сервере, но все равно, есть вероятность? Я где-то слышал, что можно подделать идентификатор сессии, но я его не использую.
Просто на сайте суть такая: юзер может редактировать свои данные. При аутентификации, в сессию записывается его id. Просто если юзер как-то подставит в сессию чужой id, то сможет редактировать чужие данные, что недопустимо. В данном случае, хранить id в сессии безопасно?
1. Itan - 04 Октября, 2011 - 14:35:58 - перейти к сообщению
2. OrmaJever - 04 Октября, 2011 - 14:44:15 - перейти к сообщению
Itan пишет:
но все равно, есть вероятность?
конешно есть, id сесии состоит из 32 символов a-z 0-9, и того 32^35, в итоге число слишком велико
Подругому подменить id не выдет (ну кроме как взлом сервера)
3. LIME - 04 Октября, 2011 - 14:45:34 - перейти к сообщению
Itan пишет:
используете неявно ...вызывая session_start()Я где-то слышал, что можно подделать идентификатор сессии, но я его не использую.
Itan пишет:
безопасно
В данном случае, хранить id в сессии безопасно?