Безопасные сеансы в переполнении стека
Можно ли создать соль (случайную строку), добавить ее в строку идентификатора пользователя, затем md5 (или другое шифрование), сохранить тот же результат, что и в файле cookie, и в качестве переменной сеанса, а затем включить скрипт php на защищенных страницах, чтобы сделать уверены, что и cookie, и переменные сеанса совпадают?
Будет ли это безопасно?
Решение
Не более безопасно, чем позволить PHP автоматически генерировать для вас идентификатор сессии, используя session_start() вызов.
Это все еще уязвимо для того, чтобы кто-то украл ваш куки с идентификатором сессии.
Для большей безопасности используйте HTTPS и пометьте куки как только HTTP, чтобы JavaScript не мог получить к ним доступ. Вы также можете сохранить IP-адрес пользователя в переменной сеанса и убедиться, что IP-адрес соответствует удаленному адресу пользователя, отправляющего вам ваш файл cookie.
Другие решения
Других решений пока нет …