Perchè le sessioni hanno bisogno dei cookie o comunque che venga passao il token tramite GET? Non sarebbe più logico che il server, così come gestisce le sessioni automaticamente, tenga in considerazione l'IP da cui proviene la chiamata di uno script anzichè utilizzare il suddetto codice randomico? Il vantaggio ovviamente risiederebbe nella non-necessità di tenere i cookie abilitati da parte del client.
Poi un'altra informazione. Seguendo vari tutorial ho notato che più o meno tutti utilizzano come chiave associativa dell'array $_SESSION, per memorizzare una particolare informazione che accerti il corretto login di un utente, un valore alfanumerico randomico o comunque poco intuitivo
esempio:
[...script per verificare il login...]
echo("Welcome");
$_SESSION['qHdweNfpod']=$username;
Qual è il vantaggio di usare questa chiave poco intuitiva? Ovvio che mi vien pensare ad una ragione di sicurezza, ma tuttavia non vedo come possa rappresentare un pericolo utilizzare invece una parola più intuitiva come
$_SESSION['logged']=$username;
Un eventuale hacker che abbia scoperto il mio token di sessione e lo invia tramite GET, che gli cambia?
