Paramètre enregistré dans les données SESSION - sécurité?

Je me demande comment sécuriser le code ci-dessous:Paramètre enregistré dans les données SESSION - sécurité?

if ($username == $user->username && $password == $user->password) { 
    $_SESSION['loggedIn'] = true; 
    $_SESSION['userId'] = $user->userId; 
}

En fait, aurait-il un moyen pour quelqu'un de simuler la variable de session (en plus de voler en fait un cookie utilisateurs)?

Source

2010-09-21 Ian McIntyre Silber

Ça me semble bien. Il suffit de ne pas stocker le mot de passe ou les données sensibles dans la session au cas où quelqu'un volerait l'identifiant de la session. Je crois que la plupart des risques de sécurité ont lieu en obtenant le mot de passe au serveur en toute sécurité.

De plus, vous devez au moins enregistrer votre mot de passe. Le faire (en supposant que $ utilisateur-> mot de passe est hashed en utilisant sha1) sha1($password) == $user->password

Source

2010-09-21 02:46:24 Kyle

Merci pour l'entrée. J'ai le mot de passe stocké dans un format md5 salé. –

"au cas où quelqu'un volerait l'identifiant de la session" --- et alors? Vous avez volé mon session_id. Comment allez-vous obtenir le mot de passe? – zerkms

Paramètre enregistré dans les données SESSION - sécurité?

Répondre

Questions connexes