Witam!
Mam pytanie: Jak bezpieczny jest system logowania który przetrzymuje informację o tym czy jesteśmy zalogowani i na jakie konto w sesji, przechowując np. numer ID
// PSEUDOKOD
session_start();
$_POST["login"];
$_POST["password"];
login = funkcja_sanityzująca($_POST["login"]);
password = funkcja_sanityzująca($_POST["password"]);
mysqli_connect();
$query = 'Select ID from users WHERE login=$login passowrd=$password'
$result = mysqli_query($query);
$result -> fech_assoc();
$id = $result["id"];
$_SESSION["id"] = id; //Tą zmienną chcę posługiwać się przy sprawdzaniu kto może wejść na daną stronę, czy wykonać operację
Czy można ukraść sesje (tak) ale czy nie mając virusa/korzystać z otwartych wifi itp można wykraść numer sesji?
Czy można w jakiś sposób zedytować zmienne sesyjne z poziomu użytkownika?
Chodzi o to by nikt nie mógł otrzymać ID w inny sposób niż poprzez logowanie (oczywiście odpowiedniego ID)