मुझे सत्र में उपयोगकर्ता की आईडी कैसे होस्ट करनी चाहिए? बस आईडी डालने के लिए? मेरा मतलब है (उदाहरण के लिए):सत्र इंजेक्शन?
$_SESSION['id'] = 1;
उपयोगकर्ता द्वारा स्वयं को (कुकी के रूप में ..) में बदलने का कोई तरीका नहीं है? क्योंकि यदि ऐसा है, तो वह किसी भी आईडी में बदल सकता है।
इसके बारे में एक और सवाल - मैं कैसे जांच सकता हूं कि उपयोगकर्ता लॉग इन है (सत्रों के साथ)?
$_SESSION['is_logged_in'] = true;
फिर, उपयोगकर्ता सिर्फ एक सत्र जिसका नाम उनके नाम 'is_logged_in' है नहीं बना सकते और उसके मूल्य सच है: मैं एक सत्र बनाया? या बस सर्वर के सर्वर के मूल्य के बारे में एक नियंत्रण है?
देखें: [PHP सत्र निर्धारण/अपहरण] (http://stackoverflow.com/questions/5081025/php-session-fixation-hijacking#5081453) –
जिस तरह से इसे काम करना है, वह है कि सत्र नियंत्रित और बनाया जाता है केवल सर्वर तो नहीं, उपयोगकर्ता * एक सत्र बनाने में सक्षम नहीं होना चाहिए जिसका नाम 'is_logged_in' है * और यह आपके द्वारा वर्णित तरीके से सत्र को प्रभावित करता है, जब तक कि आपकी सत्र पद्धति गंभीर रूप से त्रुटिपूर्ण न हो। –
'$ _SESSION' में मान विशेष रूप से सर्वरसाइड संग्रहीत किए जाते हैं। उपयोगकर्ता को केवल एक PHPSESSID कुकी प्राप्त होती है जिसमें उनकी सत्र आईडी होती है। PHP स्टोर स्टोर में डेटा देखने के लिए इसका उपयोग करता है। –