הוסטס - פורום אחסון האתרים הגדול בישראל

ציטוט:

נכתב במקור על ידי IgalSt (פרסם 830584)

בגדול כן, אלא אם כן הוא ינצל איזו פרצה אחרת בשרת ה-WEB שלך.
בכל אופן, למה שתרצה לשמור את הפרטים האלה בסשין ולא את ה-ID של המשתמש שלך לדוגמה?
אם כבר ביצעת את האימות שלך שהמשתמש התחבר עם נתונים נכונים, למה שלא תשמור רק את ה-ID וכך כל השליפות שלך מה-DB יהיו הכי יעילות...

במקרה של מחיקת משתמש, הוא עדיין ישאר מחובר (חסרון קטן, אבל חסרון גדול באדמין פאנל)
ובמקרה שזו עוגייה, עריכת האיידי שלה פשוט תיתן חיבור לכל משתמש אחר ..
כך שזה רעיון לא כל כך טוב,

לפותח האשכול:
תשמור את השם משתמש ואת הסיסמה(בהצפנה חד כיוונית) [מומלץ את שניהם בהצפנה דו כיוונית]
ולפי זה תעשה בדיקה באתר..
זה שהוא יערוך את העוגייה לא גורם לזה להיות דבר לא מאובטח, כי כדי לערוך את העוגייה הוא צריך פרטים.

מה שאתה צריך לחשוב לאבטח זה את הצד שרת, שם אל תהווה חורי אבטחה
צד לקוח - לא משנה מה, תמיד יהיה אפשר לשנות ככה שזה נעים שתעשה בדיקה
אבל אם בן אדם משנה משהו ורואה שזה לא פועל, הוא מבין עם מה הוא מתעסק
אין לך מה לדאוג, בהצלחה