मैं सत्र में केवल उपयोगकर्ता आईडी जोड़ने के खिलाफ सलाह दूंगा। उदाहरण के लिए:
1: एक ब्राउज़र में खाता बनाएं और लॉग इन करें। फिर उस ब्राउज़र को खोलें और दूसरे कंप्यूटर पर जाएं।
2: उसी खाते में लॉग इन करें और इसे हटाएं। अब एक अलग पासवर्ड के साथ एक नया खाता बनाएं (उसी उपयोगकर्ता नाम के साथ, यदि आईडी के रूप में उपयोग किया जाता है)।
3: अपने अन्य कंप्यूटर पर वापस जाएं और सामान करें। आप पाएंगे कि आप संभवतः अब दूसरे कंप्यूटर पर किए गए खाते का उपयोग कर सकते हैं।
असल में, चूंकि सत्र आईडी संग्रहीत करता है, इसलिए यह अभी भी एक ही व्यक्ति से संबंधित नहीं हो सकता है, यदि आईएफएफ खातों में बदलाव आया है और यदि कोई पासवर्ड आवश्यक नहीं है (क्योंकि आप पहले से ही उस प्रक्रिया के दौरान गए थे जब आप खाते के स्वामित्व में थे) तो यह तोड़ने के समान है।
तो ऐसा लगता है कि जब आप डेटाबेस से उपयोगकर्ता खाते हटाते हैं, तो संख्यात्मक आईडी का पुन: उपयोग किया जा सकता है (सिस्टम के लगभग 2% मैंने इसे देखा है)। या यदि उपयोगकर्ता आईडी उपयोगकर्ता नाम है (लगभग 20% मैंने यह देखा है)।
तो मैं सत्र में उपयोगकर्ता आईडी और पासवर्ड हैश (i.e md5, sha1) जोड़ने और प्रत्येक बार दोनों का उपयोग करके उपयोगकर्ता की जानकारी प्राप्त करने का सुझाव दूंगा।
स्रोत
2012-05-29 11:28:31
यह ध्यान देने योग्य है कि यदि कोई उपयुक्त प्लगइन है (मैं फ़ायरफ़ॉक्स के लिए वेब डेवलपर का उपयोग करता हूं) तो उपयोगकर्ता अपनी सत्र जानकारी देख सकता है।इसके अलावा आप 'login_user कॉल – DaOgre
@DaOgre * सत्र * जानकारी में दूसरा' खो रहे हैं! == * कुकी * जानकारी – deceze
बहुत अच्छी बात @deceze। मैंने जल्दी से जांच की और सत्र आईडी को संग्रहीत किया, और कुछ त्वरित (और गलत) मानसिक छलांग लगाई। पकड़ – DaOgre