criptare variabile di sessione

[leaf]

ciao a tutti, sto creando una sessione (numero random). Volevo sapere se criptare il numero ad esempio con sha1, prima di memorizzarlo in $_SESSION può essere utile o meno.
Ho letto dei tutorial riguardo al memorizzare le variabili di sessione nel database ma per ora non ne ho bisogno.
Inoltre, quanto è importante inserire un session_destroy quando l'utente ha finito quello che deve fare?
Cioè, le variabili di sessione vengono automaticamente distrutte quando si chiude il browser giusto?

codice:

$usr = mysqli_fetch_array(mysqli_query($con, "SELECT * FROM users")); //estrae dati di login
//se i dati di login sono corretti crea la variabile di sessione
if(password_verify($_POST['usrname'], $usr[0]) && password_verify($_POST['usrpw'], $usr[1])){
    $_SESSION['logged'] = sha1(rand(1000,10000));
    echo "<h12>Benvenuto!<br/>";
} else
   echo "non sei loggato";

grazie,
ciao

[Alhazred]

Fare una variabile $_SESSION['logged'] che poi conterrà un numero a caso non penso sia molto utile, poi con cosa la confronti per assicurarti che contenga il valore corretto? Proprio per il fatto che poi non potrai confrontare tale valore, non ha senso neanche criptarlo visto che qualunque valore contenga va bene, suppongo che tu controllerai solo se la variabile esiste o meno.

session_destroy() serve per il logout, quando un utente effettua il logout devi eliminare tutti i suoi dati in sessione, visto che se è loggato è lì che controlli.

[leaf]

sì, effettivamente ora sto solo controllando se esiste con isset. Quindi è meglio dargli un valore fisso e poi controllare se esiste e se corrisponde a quel valore? però il valore fisso si troverebbe scritto nella pagina php. potrebbe essere una soluzione scriverlo nel db ed estrarlo da lì ogni volta che si crea la sessione?

ok capisco
grazie
L.

[Alhazred]

Beh, se uno riuscisse ad accedere al codice della pagina PHP penso che a quel punto il valore della variabile di sessione sarebbe l'ultimo dei tuoi problemi.

[leaf]

giusto..ok grazie
L.