Stockez l'ID utilisateur dans une variable de session; Si vous avez besoin de mettre en cache des éléments tels que le niveau d'autorisation, stockez-le également. Stockez l'identifiant de session dans un cookie; utilisez HttpOnly. Si la sécurité/confidentialité est très importante, utilisez SSL pour tout (et utilisez un cookie SSL seulement, regardez aussi l'en-tête Strict-Transport-Security, qui sera bientôt utilisable dans Firefox). Sinon, il est préférable d'envoyer au moins la connexion via SSL. (Malheureusement, SSL nécessite un certificat d'un fournisseur approuvé par les navigateurs grand public, ce qui peut être coûteux à obtenir.) Assurez-vous qu'une nouvelle session est démarrée lors de la connexion pour éviter session fixation. Utilisez un hachage salé pour stocker les mots de passe; de préférence quelque chose de lent comme Blowfish, ou SHA-256 répété quelques milliers de fois. (Si vous avez besoin que votre code soit extrêmement portable ou fonctionne sur d'anciennes versions de PHP, MD5/SHA1 convient aussi, mais il fera que les gens ignorants se plaignent que vous utilisez un hash qui a été "cassé".)
une base de données? ... –
@Mitch, Ensuite, comment récupérer les informations lors de la prochaine connexion, même l'IP sera probablement changé – Starx