Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Bom, pergunta boba para alguns, mas gostaria da opinião dos mais experientes em sistemas. Quero fazer um sistema de login, seguro é claro, e tenho uma dúvida sobre sessões. Quando salvo um usuário no banco de dados, eu salvo um hash da senha, e o email do usuário. É correto e seguro eu salvar na sessão o ip do usuário, navegador, esse hash e o e-mail do usuário em sessão? Quais os dados que você acha que é seguro deixar em sessão para manter o usuário logado? Por favor, só responda se tiver certeza do que está falando.
Dei uma olhada no link que me mostrou, mostra como proteger o phpsessid sempre destruindo a atual e gerando uma nova. Acho que não é bem isso que procuro, pois o que quero é armazenar dados sensiveis na sessão, talvez até o phpsessid tem alguma coisa a ver com isso mas ainda não caiu a ficha.
em relação a isso:
ini_set('session.cache_expire', 60);
ini_set('session.cookie_httponly', true);
ini_set('session.use_only_cookie', true);Já faço uso.
Coloquei o link porque ele mostra que a sessão não é segura, agora se você precisa mesmo armazenar esses dados na sessão, a única saída para proteger estes dados seria criptografar os dados.
E usando ssl não ficaria segura a sessão?
essa é uma saída que não havia pensado, mas se seu servidor der suporte a este tipo de conexão acho que resolve seu problema!
Dá uma olhada aí talvez dê uma clareada na mente!
http://forum.imasters.com.br/topic/447675-seguranca-da-session/