Sessioni sicure

[4l3]

Ciao a tutti, sto realizzando un sito web dove devo gestire svariati account utente.

L'autenticazione dell'utente avviene cercando user e password nel database, successivamente setto $_SESSION['Username'] con l'username dell'utente.

Nelle pagine ristrette agli utenti registrati, controllo che sia settato (funzione isset) il campo $_SESSION['Username'] e ne uso il contenuto per ricavare dal database le informazioni relative all'utente.

Mi chiedevo, se tale metodo, era sufficientemente sicuro... non vorrei che ci fosse modo di poter sostituire il valore di $_SESSION['Username'] e quindi accedere alle informazioni di utenti diversi da quello con cui ci si è loggati.

Ci sono particolari accorgimenti a cui stare attenti utilizzando tale metodo?

Saluti, Alessandro.

[hacker_nait]

ciao,

forse non sai, ma le sessioni vengono memorizzate lato server, l'utente ha un cookie sul proprio pc contenente un ID associato alla sessione. Quindi, essendo tale ID una stringa alfanumerica di 32 caratteri (se non erro), sarebbe impossibile scoprire un altro ID sessione di un altro utente.