Zastanawia mnie kwestia bezpieczeństwa sesji, a dokładnie przetrzymywania w niej id artykułów, które user przeglądał, albo w przypadku sklepu internetowego, id strony przedmiotu. Oczywiście to po to, żeby je userowi wylistować. Przeglądając forum znalazłem min. http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesj - gdzie jest zaimplementowana własna obsługa sesji. Na ile takie rozwiązanie jest bezpieczne, oraz czy user może podglądać zawartość własnej sesji? Jak mogę zabezpieczyć taki skrypt przed udostępnianiem informacji o strukturze bazy danych( w tym przypadku o id)? Czy może niepotrzebne przetrzymuje te dane w sesji? Dzięki z góry.

1. na podanej stronie przedstawiony jest tylko szkielet klasy do obsługi sesji, tak więc jej bezpieczeństwo wynikać będzie z jej implementacji

2. rozwiązanie będzie na tyle bezpieczne, na ile zadbasz o jego bezpieczeństwo :-) jeśli zastosujesz się do porad z bloga będziesz mógł spać spokojnie

3. user nie ma możliwości wglądu w zawartość swojej sesji chyba że:
* gdzieś ją listujesz, tzn robisz dumpa tablicy $_SESSION
* jeśli korzystasz z jakiegoś frameworka i masz włączony tryb debug może się okazać, że wystąpienie błędu = wyświetlenie danych ze wszystkich tablic superglobalnych
* jesteś podatny na Session injection

4. jeśli nie wyświetlasz nigdzie zbyt szczegółowych komunikatów błędów nie ma wglądu w strukturę bazy danych - chyba, że jesteś podatny na SQL Injection

5. jeśli chcesz przetrzymywać dane o stronach odwiedzonych przez usera w ramach sesji, przymanie tych danych w tablicy sesyjnej jest dobrą opcją - pod warunkiem, że będzie to rozsądna ilość danych