Je dois stocker une valeur user_id dans une session PHP.Stocker des identifiants d'enregistrement dans des sessions PHP, en clair?
Est-il OK pour moi de le faire dans le clair
$_SESSION['user_id'] = 10;
Ou quelles méthodes, qui sont relativement faciles à mettre en œuvre serait le mieux pour ajouter la sécurité? (l'application ne contient aucune information super critique ou sensible comme le paiement etc. donc je ne veux pas aller au-dessus)
Le tableau $_SESSION existe seulement côté serveur, donc c'est seulement en clair pour votre code . Dans votre exemple, je ne vois rien à craindre.
Les seules personnes qui peuvent lire cela sont vous (via $_SERVER) et toute personne qui a accès à l'endroit où vous stockez les sessions (en supposant que le fichier est basé). C'est généralement /tmp/ mais vous pouvez changer avec ini_set('session.save_path', BASE.'sessions');. En outre, il ne semble pas y avoir beaucoup d'informations critiques dans votre exemple. Que peut faire un utilisateur malveillant s'il connaît son propre identifiant?
Un identifiant d'utilisateur (ou toute clé primaire de base de données) n'est pas un élément d'information particulièrement sensible. Il est souvent exposé à un utilisateur ou au public, il n'y a donc pas grand-chose à craindre pour le stocker dans le tableau de session.
La sécurité de votre système ne doit en aucun cas dépendre du fait que quelqu'un connaisse la clé primaire (ID) d'un utilisateur dans votre base de données.