Можно ли создать соль (случайную строку), добавить ее в строку идентификатора пользователя, затем md5 (или другое шифрование), сохранить тот же результат, что и в файле cookie, и в качестве переменной сеанса, а затем включить скрипт php на защищенных страницах, чтобы сделать уверены, что и cookie, и переменные сеанса совпадают?
Будет ли это безопасно?
Не более безопасно, чем позволить PHP автоматически генерировать для вас идентификатор сессии, используя session_start()
вызов.
Это все еще уязвимо для того, чтобы кто-то украл ваш куки с идентификатором сессии.
Для большей безопасности используйте HTTPS и пометьте куки как только HTTP, чтобы JavaScript не мог получить к ним доступ. Вы также можете сохранить IP-адрес пользователя в переменной сеанса и убедиться, что IP-адрес соответствует удаленному адресу пользователя, отправляющего вам ваш файл cookie.
Других решений пока нет …