נגיד יש לי כזה אפרות משתמש נכנס לאתר התחבר ורוצה לשנות את הפרטים שלו. אחרי שהוא התחבר נוצרים שני sessions אחד של שם המשתמש והשני של הסיסמא שלו. עכשיו נגיד והוא נכנס לשנות את הפרטים האם כדי לי בכל זאת לבדוק אם הסיסמא שנמצאת ב session טועמת לסיסמא ב DB? או שזה בטוח?

כן, אתה צריך אם אתה עובד כך, או שתעבוד בצורה שלטעמי טובה יותר..
צור טבלת SESSIONS ועבור כל משתמש שמתחבר לאתר תדאג שתהליך ההתחברות שלו יעבור דרכה, כך שמה שישמר בSESSION של אותו משתמש זה יהיה למשל הmd5 של הID של הסשן שנוצר עבורו. בדרך זו גם תוכל לראות למשל כמה אנשים יש לך באתר באותו רגע.

רק שאני הצעתי:

קוד PHP:

 $login_id = sha1($user.md5(time()).md5($pass)); 


GNU/Linux - Use the source!

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://petition.mac-it.co.il/promote/buttons/petition_text_less.gif]

הSESSION, נשמרים על השרת, אז ככה שהמשתמש לא יכול ליצור לעצמו SESSION עם נתונים אחרים (ברמה העקרונית)...
הSESSION משויך למשתמש מסוים לפי העוגיה שנשלחת מהמשתמש עם הID הספציפי (ישנן גם דרכים אחרות אבל זו הדרך המקובלת לפחות ממה שאני מכיר).

אכן, אפשר לזייף SESSION ולנסות להתחזות למשתמש אחר, אבל זה לא הדבר הכי פשוט בעולם, ואני גם לא חושב שבדיוק ככה זה אפשרי.
יהיה יותר פשוט לשתול keylogger על אותו משתמש מאשר למצוא איזה SESSID הוא קיבל ולנסות להתחקות לאותו אחד.


בקיצור, SESSION בלתי ניתן לעריכה למשתמש - ככה שאין לך מה לדאוג לגבי זיוף של זה (אם זה שם, זה בגלל שאתה - התוכניתן - הגדרת את זה איפשהו), אלא אם כן נתת למשתמשים לערוך את הSESSION שלהם עצמם, מה שלא נראה לי

אופס, שכח מזה P:

אוקי תודה רבה לכולם