Логин пользователя и сессии: безопасно или нет

Question

Таблица БД: login_info

--------------------------------------
| login      |  passwd    |  company |
--------------------------------------
|company1    |  passmd5   | company1 |
--------------------------------------
|company2    |  passmd5   | company2 |
--------------------------------------
|company3    |  passmd5   | company3 |
--------------------------------------

при совпадении имени входа имя пользователя и название компании сохраняются в переменной сеанса.

$_SESSION['SESS_MEMBER_ID'] = $log['login']; //where $log is the mysql_fetch_assoc result array
$_SESSION['log_company_id'] = $log['company'];

Затем, используя сохраненное название компании в переменной сеанса, данные о компании загружаются из базы данных конкретной компании.Я не полагаюсь на куки для хранения этой информации.Этот метод безопасен?Должен ли я сделать что-то еще?Любые другие меры безопасности, о которых я должен знать?

Answer 1

вместо того, чтобы хранить loginid в переменной и просто «предполагать», что это тот же человек, который вы могли бы сохранить сеанс как запись в базе данных. затем укажите идентификатор этой записи в переменной сеанса.

Таким образом, вы можете сохранить IP-адрес пользователя в базе данных, а при проверке сеанса вы можете сравнить IP-адрес с сеансом в базе данных - это устранит перехват сеанса и повысит безопасность.