seguridad de sesiones

Saludos,


Me gustaría preguntar que medidas de segurar se deberían de tomar en cuenta a la hora de tratar con sesiones.

¿Un usuario local puede alterar el valor de las variables de sesiones?

Yo siempre he utilizado cookies y realizo el siguiente proceso para comprobarlas:
- Compruebo que sean datos correctos (para evitar inyecciones al comprobar si es un usuario válido)
- Compruebo que los valores sean reales (que exista el usuario en mi base de datos)

¿Con las sesiones podría ahorrarme los pasos y simplemente mirar si existe una variable concreta de la sesion, no?


Gracias

Bueno, primero para ver si una variable de sesion existe o no debes de realizarlo de la siguiente manera:

En este caso la variable usuario se activa en el momento que se detecta si el usuario existe o no en el sistema, asi de esta forma antes de cargar cualquier pagia que requiera de haberse logeado siempre se preguntara si la variable session esta activada o no.

Espero haber contestado lo que preguntas

si, la manera en la que comprobar si ya se ha logueado la tengo clara, lo que pregunto es si el usuario puede "manipular" el contenido de las sesiones "a mano" en su ordenador

segun tengo entendido las sesiones guardan cookies también en el cliente

no... las sesiones se guardan en el servidor...

tan solo una directiva del php.ini hace que el ID de la sesión se almacene en alguna cookie del usuario, pero tan solo es el ID para retomar la sesión desde el servidor...

la sesión solo sirve y se almacena en el servidor, el cliente no puede ni siquiera imaginarla...

en resumen, lo único que se guarda de la sesión en el cliente (y si el php.ini lo indica) es el identificador de sesión, no toda la sesión!!!

por favor, lee con detenimiento el manual de PHP

http://php.net/session