PHP System Logowania, Czy jest bezpieczny

Question

<?php 
    if (array_key_exists('login',$_SESSION)) //sprawdz czy ktos sie zalogowal - w momencie poprawnego logowania login urzytkownika jest umieszczany w sesji
    {//zalogowany
        echo "<div align='center'>	Witaj <b> ".$_SESSION['login']."</b> Zalogowano poprawnie<br>";
    }
    else
    {
        //nie zalogowany
        include('login.php'); // otworz strone logowania
    }
?>

Mam główne wątpliwości jeżeli chodzi o tego pierwszego if'a. Da się przecież zmienić ciasteczko na dowolną wartość - czy to spowoduje wyświetlenie zastrzeżonej treści?

Comments

Ja mam wątpliwości co do reszty kodu...

Answer 1

Ciasteczkami owszem, można manipulować, ale nie sesją, która jest przechowywana na serwerze. W ciastku jest jedynie przechowywane id sesji.

Answer 2

Sesja nie jest przechowywana w ciastku – a przynajmniej nie domyślnie.

Answer 3

Jeśli masz wątpliwości co do bezpieczeństwa tego co tworzysz, to zapraszamy na ciemną stronę mocy:

• Frameworks
• CleanCode
• TDD
• OOP
• more good development practises

Comments

Żadna z tych rzeczy (nie licząc ostatniej) nie zabezpieczy za Ciebie kodu, jeśli odwalisz jakaś definitywną Albertowiznę (bez urazy dla żadnego Alberta) 

---

Nic takiego nie powiedziałem  osobiście uważam jednak, że osoby łapiące się za wyżej wymienione przeze mnie rzeczy nastawione są na antyAlbertowiznę

(bez urazy dla żadnego Alberta) 

---

antyAlbertowiznę

Widać, że programista, nawet pisząc komentarz na forum używa camelCase'a 

---

Nawet nie pomyślałem xD wyższy poziom zboczenia zawodowego