Я разработал php-приложение, в котором пользователи входят в систему, а единый экземпляр «controller» содержит все пользовательские данные, такие как их параметры, разрешения и так далее. Этот контроллер хранится в сеансе и будет всегда одинаковым на каждой изменяемой странице.
Теперь я на самом деле не использую SID, поэтому, если один и тот же пользователь войдет в систему с другого компьютера, он сможет одновременно открыть два сеанса, каждый со своим собственным SID и независимыми контроллерами.
Какой стандартный способ управления SID? Должен ли я прикрепить к каждому пользователю его «активный SID» в базе данных и проверять его каждый раз, когда они меняют страницу?
Таким образом, если они будут регистрироваться из другого сеанса, в первом из них будет ошибка «сеанс истек».
Я использую безопасный и https PHPSSID, если это имеет значение.
Существуют ли конкретные проблемы с уязвимостями, с которыми я мог бы столкнуться при использовании этого шаблона?
спасибо