Stránka 1 z 1
Je vhodné ukládat id uživatele do session?
Napsal: 29 led 2012 23:52
od Jara
Zdravím!
Chtěl bych se zeptat, podle které informace v session rozpoznáváte uživatele. Je vhodné (z bezpečnostního hlediska) ukládat do session ID uživatele (podle kterého selectujete informace z databáze)?
Děkuji
Re: Je vhodné ukládat id uživatele do session?
Napsal: 30 led 2012 02:25
od Default User
Já osobně to tak sice dělám, ale všude možně se píše, že to není bezpečné a že se to z hlediska bezpečnosti nedoporučuje. Návod k alternativám se bohužel v české části webu těžko hledá.
Re: Je vhodné ukládat id uživatele do session? Vyřešeno
Napsal: 30 led 2012 10:21
od Ellrohir
podle mého se tím session-id "o kterém se všude píše" nemyslí ID uživatele uložené v session, ale identifikátor konkrétní session vytvořené na serveru a vztahující se k aktuálnímu uživateli (posílá se přes http hlavičku Referer a když je to nedobře nastavený, tak i jako parametr přes GET) - ten když někdo odloví, tak se pochopitelně může neoprávněně dostat kam nemá
jinak je podle mě naprosto jedno, jestli si jako hodnotu session držím ID uživatele, nebo jeho jméno nebo třeba velikost jeho bot a barvu očí - jakmile se to někomu dostane do rukou, tak mi do tý aplikace vleze stejně...a ID má z mýho pohledu výhodu, že pak jde snadno přímo koukat do jiných tabulek - nemusím napřed z tabulky uživatelů zjistit uživatelovo id