Hola, estaba programando un sistema de usuarios y vino la duda de la seguridad.
Lo que lei en otros lados era poner
Código PHP:
$_SESSION['userid'] = "blabla";
Algo así.. Pero me imagino que debe ser muy vulnerable y fácil de modificar para poder convertirte en cualquier usuario.
Con una consulta simple como esta:
Código PHP:
$uid = $_SESSION['userid'];
$con = mysql_connect($host, $user, $pw) or die(mysql_error());
mysql_select_db($db) or die(mysql_error());
$res = mysql_query("SELECT * FROM tabla WHERE user_id = '$uid'");
$count = mysql_num_rows($res);
(consulta en la BD)
A mi se me ocurrió poner:
Código PHP:
$_SESSION['userid'] = "blabla"; //ID del user
$_SESSION['pass'] = "blablabla"; //Password del user
(Cuando loguea el usuario guardar ambos datos, id y pass.)
Entonces la verificación en la BD se hacia con los dos datos escenciales para poder loguear. Peeeero me pareció medio raro que nadie lo alla puesto antes en algun foro, o no haberlo encontrado. Por eso, mi consulta es si es segura esa manera de guardar los da