Como BalusC menciona, las session_
-funciones en php son el camino a seguir, su idea básica es el sonido. Pero todavía hay muchas realizaciones diferentes, algunas de ellas tienen sus riesgos. Por ejemplo, como explica Jonathan Samson, el uso de cookies puede generar agujeros de seguridad.
Mi PHP está un poco oxidado, pero recuerdo que las funciones session_
también pueden usar identificadores de sesión codificados en URL. (También había una opción para agregar esto automáticamente a todos los enlaces locales (como GET) y formar objetivos (como POST). Pero eso no estaba exento de riesgos, tampoco). Una forma de evitar el secuestro de sesión copiando el SID es recordar la dirección IP y compararla para cualquier solicitud que tenga una ID de sesión válida a IP que envió esta solicitud.
Como puede ver, el método subyacente es solo el comienzo, hay muchas más cosas que considerar.La recomendación por SapphireSun es, por lo tanto, algo a tener en cuenta: al utilizar una biblioteca bien probada, puede obtener un buen nivel de seguridad, sin utilizar un valioso tiempo de desarrollo para desarrollar su propio sistema de sesión. Recomendaría este enfoque para cualquier sistema que desee implementar en el mundo real.
otoh, si usted quiere aprender acerca de las sesiones de PHP y cuestiones de seguridad, debería hacerlo por sí solo, aunque sólo sea para comprender cómo no hacerlo ;-)
Bienvenido a StackOverflow. Gran primera pregunta! – Sampson
gracias! prepárese para más preguntas; P – Erkka