Хранение сессии для использования в личном кабинете

Question

Я создал систему регистрации / входа в личный кабинет. Как только пользователь вошел в систему, я хочу сохранить переменную сеанса, которую я могу использовать для извлечения данных, связанных с пользователем, из базы данных.

Должен ли я каким-либо образом зашифровать переменную? Данные, которые я хочу использовать в качестве переменной, будут либо именем пользователя, либо идентификатором, что лучше?

Должны ли идентификаторы сессии быть восстановлены в любом случае и когда ??

Answer 1

Хранение данных в сеансе считается "безопасным", поэтому вам не нужно шифровать-дешифровать его.

Answer 2

Просто добавьте в комментарии ниже,

Имейте в виду, что создание сеансов стоит дорого для вашего серверного приложения. Иногда хорошей идеей является сохранение идентификатора в сеансе и другой информации в файлах cookie (информация, которая не требует защиты в качестве имени пользователя).

Answer 3

Вы должны восстановить свой идентификатор сессии после успешного входа / выхода. В целях безопасности я бы порекомендовал спросить у пользователя его пароль, если он хочет выполнить критическое действие (например, изменить важные данные, удалить учетную запись или отправить заказ).

Как заявил AurimasL, вам не нужно беспокоиться о данных сеанса на стороне сервера. Я рекомендую это чтение, если вы находитесь на общем хосте, потому что тогда есть некоторые аспекты безопасности: http://phpsec.org/projects/guide/5.html

Answer 4

Идентификаторы сеанса хранятся в виде файла cookie на компьютере клиента и передаются обратно на сервер для каждого отдельного запроса.Вот как PHP определяет, какую информацию загружать в сеанс после получения запроса.

Поскольку сеансы живут на сервере, а не на клиенте, вам нужно беспокоиться только о угоне сеанса в отношении того, является ли сохраненная в них информация защищенной или нет.Ответ на ваш вопрос - нет, я бы не стал пытаться зашифровать информацию, которая хранится в сессии.