Безопасность сессии PHP

@Xerotico · Регистрация: 25.01.2014

Студворк — интернет-сервис помощи студентам

Добрый день, недавно начал изучать PHP. Сперва решил сделать простую логин страничку. Возник вопрос о сохранении факта логина, решил воспользоваться сессиями.
Получилось что-то вроде:

PHP
1
2
3
$_SESSION['username'] = $_POST['username'];
$_SESSION['password'] = $_POST['password'];
$_SESSION['loggedin'] = 1;

После логина в куки появляется запись вроде такой:
PHPSESSID - l94io9gmu2o261q8vla1fk8og3

Проблема в том, что после обновления страницы запись не изменяется и, теоретически, её можно подобрать брутфорсом(?). Я конечно не эксперт, но это явно небезопасно.
Возникли вопросики:
1) Стоит ли использовать сессии или есть что-нибудь лучше/удобнее/безопаснее?
2) Как изменять сессию при обновлении страницы? Или вообще забить? И не изменятся ли при этом значения переменных?
3) Как потом проверять факт логина, дергать каждый раз из базы запись с логином $_SESSION['username'] и сверять пароль с $_SESSION['password']? Это же долго, занимает место в php-файле и нагружает БД..

@Jodah · 07.09.2015, 00:38

Сообщение от Xerotico

теоретически, её можно подобрать брутфорсом(?)

1. Не обязательно хранить только сессию. Можно хранить несколько параметров - сессия + id пользователя, например. Или 2 сессии одновременно.

2. Ограничить количество попыток авторизации за определённое время. Например, не более 10 попыток в минуту.
3. Ограничить количество запросов к сайту за определённое время. Например, не более 200 запросов в минуту.

Сообщение от Xerotico

1) Стоит ли использовать сессии или есть что-нибудь лучше/удобнее/безопаснее?

Имхо куки удобней, по безопасности не уступают сессиям.

Сообщение от Xerotico

2) Как изменять сессию при обновлении страницы? Или вообще забить? И не изменятся ли при этом значения переменных?

Можно вручную генерировать рандомную строку (сессию) и отправлять её в куки юзеру при каждом заходе на сайт.

Сообщение от Xerotico

3) Как потом проверять факт логина, дергать каждый раз из базы запись с логином $_SESSION['username'] и сверять пароль с $_SESSION['password']? Это же долго, занимает место в php-файле и нагружает БД..

Сверять не обязательно, достаточно проверить, что база вернула хотя бы 1 запись. Нагрузка здесь мизерная, это скорее вопрос возможностей хостинга/сервера.

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит переходные токи и напряжения на элементах схемы. . . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .