Безопасность сессии PHP

@Xerotico · Регистрация: 25.01.2014

Студворк — интернет-сервис помощи студентам

Добрый день, недавно начал изучать PHP. Сперва решил сделать простую логин страничку. Возник вопрос о сохранении факта логина, решил воспользоваться сессиями.
Получилось что-то вроде:

PHP
1
2
3
$_SESSION['username'] = $_POST['username'];
$_SESSION['password'] = $_POST['password'];
$_SESSION['loggedin'] = 1;

После логина в куки появляется запись вроде такой:
PHPSESSID - l94io9gmu2o261q8vla1fk8og3

Проблема в том, что после обновления страницы запись не изменяется и, теоретически, её можно подобрать брутфорсом(?). Я конечно не эксперт, но это явно небезопасно.
Возникли вопросики:
1) Стоит ли использовать сессии или есть что-нибудь лучше/удобнее/безопаснее?
2) Как изменять сессию при обновлении страницы? Или вообще забить? И не изменятся ли при этом значения переменных?
3) Как потом проверять факт логина, дергать каждый раз из базы запись с логином $_SESSION['username'] и сверять пароль с $_SESSION['password']? Это же долго, занимает место в php-файле и нагружает БД..

@Jodah · 07.09.2015, 00:38

Сообщение от Xerotico

теоретически, её можно подобрать брутфорсом(?)

1. Не обязательно хранить только сессию. Можно хранить несколько параметров - сессия + id пользователя, например. Или 2 сессии одновременно.

2. Ограничить количество попыток авторизации за определённое время. Например, не более 10 попыток в минуту.
3. Ограничить количество запросов к сайту за определённое время. Например, не более 200 запросов в минуту.

Сообщение от Xerotico

1) Стоит ли использовать сессии или есть что-нибудь лучше/удобнее/безопаснее?

Имхо куки удобней, по безопасности не уступают сессиям.

Сообщение от Xerotico

2) Как изменять сессию при обновлении страницы? Или вообще забить? И не изменятся ли при этом значения переменных?

Можно вручную генерировать рандомную строку (сессию) и отправлять её в куки юзеру при каждом заходе на сайт.

Сообщение от Xerotico

3) Как потом проверять факт логина, дергать каждый раз из базы запись с логином $_SESSION['username'] и сверять пароль с $_SESSION['password']? Это же долго, занимает место в php-файле и нагружает БД..

Сверять не обязательно, достаточно проверить, что база вернула хотя бы 1 запись. Нагрузка здесь мизерная, это скорее вопрос возможностей хостинга/сервера.

Новые блоги и статьи Все статьи Все блоги /
Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .
Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .

Опции темы