Я разрабатываю собственное приложение, которое требует входа пользователя в систему. Все пользователи и пароли (зашифрованные) хранятся в базе данных. Когда пользователь пытается войти в систему, он выполняет поиск в базе данных имени пользователя и пароля. Если все в порядке, я сохраняю username
в $_SESSION["username"]
, пользователь role
(admin, author и т.д.) В $_SESSION["role"]
и пользователь website
в $_SESSION["website"]
(мне нужно, чтобы сайт хранился, потому что приложение как "multisite" - мое приложение размещено на хостинге клиента, но администрация находится на моем сервере).
Я читал это Может ли пользователь изменить значение $_SESSION в PHP?, и я не понимаю. Является ли этот метод безопасным (для хранения данных и при входе пользователя) в $_SESSION
?
Может ли пользователь изменить содержимое сеанса? (например, если пользователь вошел в систему, а $_SESSION["website"]
- "example.com", может ли пользователь изменить сеанс $_SESSION["website"]
на "example.org", чтобы разрушить другой сайт? Если да, как избежать или что безопасно альтернатива сессии?).
И, пожалуйста, скажите мне, что такое захват сеансов и как это может повлиять на мой сайт, а также, как заставить session_id динамически меняться?
Большое вам спасибо!