¿Es seguro utilizar¿Seguridad de sesión?
If ($_SESSION['authenticated'] == true) {
/////Show secure page
}
Puede alguien sólo tiene que ir y cambiar el lugar donde se almacena la variable de sesión para hacer sus $ _SESSION [ 'autheticated'] = true?
Lo mismo ocurre con un usuario que tiene $ _SESSION ['id'] = en su ID de índice. ¿Cómo podría hacer esto más seguro? ¿Podría alguien simplemente ir y cambiar el valor de identificación y hacerse pasar por otro usuario?
¿Sería el siguiente método la forma correcta de hacer algo más seguro?
$_SESSION['random_check'] = (random number)
y almacenar esto en una columna en mi base de datos y cada vez me
If ($_SESSION['authenticated'] == true && $_SESSION['random_check'] == random_number) {
/////Then show secure page
}
Gracias,
utilizo este método para todos mis proyectos 'booleans' combinados con un hash del nombre de usuario y la fecha se haya identificado (también actualizada en el db + retenido en la sesión), luego cuando se realiza la verificación, todos se comparan como válidos y se actualizan nuevamente. Si estoy en el alojamiento compartido, cambie la ruta de guardado solo en caso de que & h. acceda a la carpeta. –