Безопасность авторизованного юзера

9. eGo Работает на Себя, если у тебя в куке только ид то ты вообще не авторизируешь пользователя, или авторизируешь кого попало.

10. G_A_N_J_A_R, хм, спасибо, интересная идея

Добавлено через 01:50 сек.
10, то есть получается каждой авторизации пишем в базу автоматически сгенерированный сервером сид? тогда если юзер зайдет с компа, а потом с телефона, то каждый раз будет авторизовываться заново

я сопоставляю куку логина и куку пароля (зашифрованного естественно) и все. Тоесть это функция is_user(); она возвращает true если логин и пароль подходят друг другу и false если нет. Ну и на каждой странице if(is_user())...

Незнаю,мне хватает

13, пароль в куке держать? не очень

так то да

12. да. а там уже смотри что тебе более нужно. выше безопасность будет если менять хеш. так как исключается возможность того что чел забыл на левом компе выйти и будет получен несанкционированный доступ.
либо регенерить хеш только по запросу пользователя. с админки например

eGo Работает на Себя (20 Мая 2012 / 16:28)
13, пароль в куке держать? не очень

Почему не очень?
Я тебе могу свои куки дать и ни чего не случится.

17. ramzes, ну в случае случайной открытой xss это как минимум облегчает задачу хакеру хотя это другая история

сделал так: добавил в таблицу `users` поле sid , обновляю при каждой авторизации.
спасибо G_A_N_J_A_R, +1

Тему закрываю