[PHP] $_SESSION quanto è affidabile?

[Difficile]

Originariamente inviato da Samleo
Intanto ti direi di mettere in sicurezza la parte admin tramite un autenticazione htaccess, e stai sicuro...almeno per quello

Ah bueno... non ci avevo pensato... sicuramente è una cosa che farò.
ThankZ.

- utilizzare session_regenerate_id(): questo comando introdotto dopo ogni chiamata di session_start() "rinomina" di volta in volta la sessione; quindi anche se un utente disgraziato dovesse impossessarsi dell'id di sessione questo diventa inutilizzabile (fonti: http://php.html.it/guide/lezione/30...ssion-fixation/).

- memorizzare in una variabile di sessione l'IP del client e NON accettare connessioni successive se non dallo stesso IP. L'indirizzo IP del client è contenuto nella variabile superglobale $_SERVER['REMOTE_ADDR'] (fonte: http://www.dti.unimi.it/sassi/LIA2008/lez19e20.htm).

- impostare una cartella di salvataggio dei file di sessioni diversa da quella di default (la cartella temporanea del server) con il comando session_save_path() (tieni presente che il garbage, cioè l'autocancellazione a scadenza dovrà essere gestito).

Per quanto ne sò è da evitare il salvataggio di dati sensibili (password) in sessione

Yea... ottimo il session_regenerate_id().
Per quanto riguarda il session_save_path() mi informerò perchè non l'ho mai usato
Per il salvataggio di dati sensibili... sbagliato a scrivere per fare di fretta ci ho messo un pò tutto, ma hai perfettament ragione
Controllo sull'IP Address lo effettuo già... ed è una cosa che in effetti ti mette al sicuro in una certa percentuale.

$_SESSION è affidabile a patto di adottare alcuni accorgimenti:

Aggiornare il SID, per evitare possibili furti di identità (session hijacking) tramite la funzione session_regenerate_id();

Salvare i dati di sessione su database;

Inoltre negli hosting condivisi, è bene cambiare il path ove viene salvato il file di sessione sul server... questo per evitare che altri script (di altre applicazioni e utenze) possano leggere il file di sessione.

Tutto claro... non ho capito solo perchè salvare i dati di sessione su un DB


GRAZIE A TUTTI PER LE RISPOSTE!