я разработал php-приложение, в котором пользовательский логин и единый экземпляр «controller» содержат все пользовательские данные, такие как их параметры, разрешения и так далее. Этот контроллер хранится в сеансе и будет всегда одинаковым на каждой изменяемой странице.
Теперь я на самом деле не использую SID, поэтому, если один и тот же пользователь войдет в систему с другого компьютера, он сможет одновременно открыть две сессии, каждая со своим собственным SID и независимыми контроллерами.
Какой стандартный способ управления SID? Должен ли я прикрепить к каждому пользователю его «активный SID» в базе данных и проверять его каждый раз, когда они меняют страницу?
Таким образом, если они будут регистрироваться из другого сеанса, в первом из них будет ошибка «сеанс истек».
Я использую безопасный и https PHPSSID, если это имеет значение.
Существуют ли конкретные проблемы с уязвимостями, с которыми я мог бы столкнуться при использовании этого шаблона?
Спасибо
Задача ещё не решена.
Других решений пока нет …