Je vhodné ukládat id uživatele do session? Vyřešeno

[Jara]

Zdravím!
Chtěl bych se zeptat, podle které informace v session rozpoznáváte uživatele. Je vhodné (z bezpečnostního hlediska) ukládat do session ID uživatele (podle kterého selectujete informace z databáze)?
Děkuji

[Reklama]

[Default User]

Já osobně to tak sice dělám, ale všude možně se píše, že to není bezpečné a že se to z hlediska bezpečnosti nedoporučuje. Návod k alternativám se bohužel v české části webu těžko hledá.

[Ellrohir]

podle mého se tím session-id "o kterém se všude píše" nemyslí ID uživatele uložené v session, ale identifikátor konkrétní session vytvořené na serveru a vztahující se k aktuálnímu uživateli (posílá se přes http hlavičku Referer a když je to nedobře nastavený, tak i jako parametr přes GET) - ten když někdo odloví, tak se pochopitelně může neoprávněně dostat kam nemá

jinak je podle mě naprosto jedno, jestli si jako hodnotu session držím ID uživatele, nebo jeho jméno nebo třeba velikost jeho bot a barvu očí - jakmile se to někomu dostane do rukou, tak mi do tý aplikace vleze stejně...a ID má z mýho pohledu výhodu, že pak jde snadno přímo koukat do jiných tabulek - nemusím napřed z tabulky uživatelů zjistit uživatelovo id