Witam mam takie pytanie... Robię panel logowania, podczas którego pobierane są prawa użytkownika i przypisywane w zależności od wyboru "zapamiętaj mnie" do sesji lub ciasteczek... Gdy jestem już zalogowany prawa mam przypisane do zmiennej $user['rights'] która ma wartość taką jak $_COOKIE['rights'] lub $_SESSION['rights']... Podczas przechodzenia do panelu administratora sprawdzam prawa za pomocą takiego kawałka kodu

[PHP] pobierz, plaintext 
if (eregi("ADMIN", $user['rights'])) {
 echo "Dostęp przyznany";
} else {
 echo "Dostęp zabroniony";
}
[PHP] pobierz, plaintext 

I moje pytanie czy takie coś jest bezpieczne? Czy da się nadpisać jakoś ciasteczka lub sesje?

ciasteczko kazdy moze Ci wyslac jakie chce
sesja generalnie opiera sie na specjalnym identyfikatorze ktory jest trzymany w COOKIE, albo przesylany w GET - osoba kradnaca musi znac dodatkowo ten prawidlowy identyfikator sesji

najlepiej poczytaj wiecej i o jednym i o drugim

a dlaczego trzymasz w sesji lub ciasteczku, a nie po prostu w sesji ?

Sesja wygasa po zamknięciu przeglądarki?

http://www.webdeveloper.pl/obsluga_sesji_w...,18,1,1,pl.html

O zabezpieczeniach była już masa tematów - poszukaj na forum. Sam używam tylko ciach lub tylko sessji - nigdy nie mieszam obydwu bo czasami wychodzą takie ^&*&*, że głowa mała

Podczas logowania nadaj użytkownikowi jego unikalny identyfikator - np.

[PHP] pobierz, plaintext 
$time = time();
$user_id = $row['user_id']; // id użytkownika pobrane z bazy
$salt = 'fefefrefe'; // do czego służy sól dowiesz się na google -> "solenie hasła"
$hash = md5($user_id.'-'.$time.'-'.$salt); // to co zostanie z hashowane dobierz sobie sam ;)
 
//... jeżeli wykonano poprawne logowanie
{
setcookie('uid', $user_id, $time + 3600);
setcookie('time', $time, $time + 3600);
setcookie('dbid', $hash, $time + 3600);
 
mysql_query("UPDATE users SET login_time = '{$time}', hash = '{$hash}'");
}
[PHP] pobierz, plaintext 

No i zamiast używać eregi, które według manuala:używaj lepiej preg_match, strstr lub strpos.