PHP-файлы cookie и безопасность участников

Я создал форум, который использует сеанс PHP при входе в систему, чтобы определить идентификатор пользователя и файлы cookie для входа в журнал.

Наверное, у меня есть два вопроса:

  1. Это лучший / безопасный метод?
  2. Файлы cookie можно добавить вручную через адресную строку с javascript, что представляет собой огромный риск для безопасности. Есть ли способ обойти это?

Благодаря!

Во-первых, убедитесь, что вы используете https, а не http. Это заставит ваш трафик получать нюхание и эксплуатацию.

Во-вторых, генерируйте как случайное значение, которое возможно использовать в качестве маркера в файле cookie. Это то, как многие из больших сайтов отслеживают свои пользователи. Имейте карту маркера для пользователя на стороне сервера, который отслеживает идентификаторы. Помните: все, что приходит от клиента, не доверено и может быть подделано.

В-третьих, используйте HMAC, чтобы сделать вмешательство намного сложнее. Вы не хотите, чтобы пользователи могли перетаскивать другие токены.

РЕДАКТИРОВАТЬ:

Вы можете найти эти другие ответы на вопросы и ответы полезными при создании этой системы:

  1. Длинная информация о создании и использовании токенов (необязательно должна быть применима служба REST ): реализация маркера аутентификации веб-службы REST

  2. Создание хороших токенов (не используйте microtime): Использует microtime () для генерации ложных ошибок маркеров сброса пароля