Аарон Харун имеет правильный ответ для вас.По сути, нет необходимости шифровать такие данные, пока вы храните их в сеансе, потому что эти данные никогда не доходят до клиента / браузера / пользователя, так как все они находятся на стороне сервера.Когда вы создаете сеанс на PHP, он обрабатывает файлы cookie для вас, так что вам не нужно об этом беспокоиться.В большинстве случаев нет необходимости иметь дело с куки.В сфере безопасности работа с файлами cookie является вредной.
Я видел несколько неаккуратных сайтов, которые на самом деле хранят имя пользователя в скрытом поле формы, что позволяет любому пользователю просто отредактировать свою локальную копию этой формы и выполнять действия в зависимости от того, какой пользователь ему нравится.Это кажется очевидной проблемой, но куки-файлы не лучше.
Если вы действительно думаете, что это хорошая идея - создать систему аутентификации, основанную на домашнем пиве, сначала вам нужно спроектировать базу данных.Не храните незашифрованные пароли, вместо этого сохраняйте хеш (например, md5, sha-1 и т. Д.), И в этот момент не будет никакого вреда при создании соли для каждого пароля (случайная строка, которую вы добавляете к паролю пользователя перед его хэшированием,и сохраните эту соль с помощью хэша пароля, потому что он понадобится вам позже - это предотвратит атаки по хешу в словаре, то есть радужные таблицы).