Czy używanie logowania typu
$_SESSION['id'] = $user['id']
nie jest zbyt narażone na atak? Dane te są zapisywane w przeglądarce, czy gdzie? Użytkownik może je sobie swobodnie edytować?
Czy używanie logowania typu
$_SESSION['id'] = $user['id']
nie jest zbyt narażone na atak? Dane te są zapisywane w przeglądarce, czy gdzie? Użytkownik może je sobie swobodnie edytować?
Nie może. Tworząc sesję użytkownik dostaje ciastko JSESSION_ID w którym jest unikalny identyfikator jego sesji. I to tyle. Nie wie co jest w niej zapisane i nie może sam niczego dodać. Jedyne co może z tym zrobić, to wysyłać z każdym requestem żeby serwer mógł na jego podstawie pobrać odpowiednie dane z cacheu i na nich pracować.
Warto tu dla kontrastu wspomnieć o localStorage, cookies, czy sessionStorage. Do tego wszystkie user ma dostęp dlatego trzeba uważać co się tam wkłada.