Witam. Stworzyłem kod gdzie po zalogowaniu przez OpenID dane o koncie z logowania są przekazywane do bazy danych i jest generowany hash szyfrowany za pomocą SHA512. Hash jest zapisywany w bazie danych i jako ciasteczko w przeglądarce. Działa to tak, że skrypt przeszukuje bazę danych szukając wpisu gdzie jest wpisany hash z przeglądarki i jeżeli znajdzie to przekazuje do przeglądarki w formie tablicy cały wpis.
if (isset($_COOKIE['hash'])) {
$sql = $db->query("SELECT * FROM `users` WHERE `hash` = " . $db->quote($_COOKIE['hash']));
if ($sql->rowCount() != 0) {
$row = $sql->fetch();
$user = $row;
}
}
Chciałbym sprawić, aby niemożliwe było zwykłe przechwycenie hasha, ustawienie go w swojej przeglądarce i uzyskanie dostępu do całego konta użytkownika. Nie chodzi mi tu o HTTPS czy SSL, bo równie dobrze można po prostu sprawdzić pliki cookie fizycznie.
Pozdrawiam.