Nekoliko pitanja:
- Da li zna neko za neki opširniji tekst o bezbednosti session varijabli (na engleskom ili srpskom)?
- Koji je najbezbedniji način rukovanja ulogovanih korisnika (npr. da li je pametno staviti korisnički ID i jednosmerni hash lozinke u session pa da se vrši autentikacija svaki put kad se naiđe na limitirane sadržaje?; ili da se unikatni session hash stavi u bazu zajedno sa IP-om pa da se čita odatle?)
- Da li je na neki način moguća injekcija session varijabli, ili session-i rade isključivo sa serverske strane pa pitam glupost? :)
Naišao sam na jednu PHP klasu za autentikaciju gde skripta jednostavno postavi $_SESSION['logged_in'] = 1 i rešena je autentikacija... Pitam se da li je to bezbedno?