Я нахожусь в середине кодирования формы с именем "запомнить меня", и до сих пор учебные пособия, которые я прочитал (частично, чтобы убедиться, что я делаю это правильно), все говорят, чтобы сохранить зашифрованный пароль в cookie вместе с именем пользователя. Затем каждый раз, когда PHP проверяет, не текут ли текущий пользователь, проверьте их файлы cookie и найдите эти значения. Если имя пользователя совпадает с паролем, вы находитесь.
Для меня это зияющая дыра в безопасности. Если кто-то должен взломать базу данных или каким-то образом получить доступ к зашифрованным паролям, их даже не нужно будет взламывать. Просто установите свои собственные файлы cookie и идите. Я прав, или просто параноик?
Моя система входа в систему использует сеансы для отслеживания текущего идентификатора пользователя и 1/0 для быстрой регистрации/выхода из системы. Пользователь не может редактировать сеансы AFAIK, так что это безопасно (если нет, сообщите мне). Я думал просто хранить идентификатор сеанса в файле cookie, чтобы потом возобновить его, но это также не защищено.
Я очень забочусь о безопасности своих пользователей, как я могу правильно защитить их информацию, сохраняя при этом действующий веб-сайт?