PHP SESSION БЕЗОПАСНОСТЬ
PHP-сессии являются удобным способом для хранения информации между запросами пользователей, но без надлежащей защиты могут стать уязвимостью для злоумышленников.
Одной из распространенных атак на PHP-сессии является атака перехвата сессии, когда злоумышленник может получить доступ к сессионным данным, перехватывая уникальный идентификатор сессии пользователя.
Для защиты сессий можно использовать различные меры, в том числе установку безопасного флага на куки, уникального идентификатора сессии, шифрования сессионных данных, а также проверку IP-адреса пользователя, чтобы обнаружить попытки атаки перехвата сессии.
Важно также не забывать удалять и обновлять сессии при выходе пользователя или истечении времени жизни сессии.
session_start();
$_SESSION['user_id'] = 123;
setcookie('session_id', session_id(), time()+3600, '/', 'example.com', true, true);
В данном примере мы устанавливаем значение идентификатора пользователя в сессию и устанавливаем безопасный флаг на куки, чтобы предотвратить доступ к куки из скриптов на других сайтах.
ТЫ ДЕЛАЕШЬ ЭТО НЕПРАВИЛЬНО! JWT VS SESSION ДЛЯ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ
Безопасность и защита сайта от угроз и взлома. Урок 1. Виды уязвимостей: xss, csrf, sql injection
Лучший вопрос на собеседовании: Что происходит после ввода адреса в браузер?
WEB - безопасность: От базовых принципов до особенностей PHP - Александр Макаров
Уроки PHP 7 - Сессии в php. Как работать с сессиями.
PHP - 100% Защищённая Регистрация и Авторизация за 30 минут. От профи.
PHP: основы безопасности сайта. SQL-инъекции, XSS-атаки и защита от них.
Сессии в PHP - Базовый курс PHP-7
How to Apply Session in Login Page in PHP - How to display a page after login in PHP - PHP login
6 советов по безопасности PHP для защиты вашего сайта