Настройка вошедших в сеанс данных - безопасность?

Question

Мне интересно, насколько безопасен приведенный ниже код:

if ($username == $user->username && $password == $user->password) {  
    $_SESSION['loggedIn'] = true;
    $_SESSION['userId'] = $user->userId;
}

В принципе, может ли кто-нибудь подделать переменную SESSION (помимо фактического кражи cookie пользователя)?

Answer 1

Кажется, хорошо для меня.Только не храните пароль или конфиденциальные данные в сеансе на случай, если кто-то украл идентификатор сеанса.Я полагаю, что большая часть рисков безопасности связана с безопасным получением пароля к серверу.

Кроме того, вы должны хранить как минимум хешированный пароль.Создание этого (предполагая, что $ user-> пароль хешируется с помощью sha1) sha1($password) == $user->password