Czyli chodzi mi o to ze przy logowaniu kazdy user dostaje swoje id ktore jest w sesji i przesylane jest do kazdego linku na stronie, na kazdej podstronie sprawdzam czy id z get'a jest takie same jak te z bazy jesli jest takie same to ok jak nie to wylogowywuje user'a.
W moim cms logowanie jest zabezpieczone w 100% jest filtrowanie i jest zabezpieczone przed atakiem brute-force i tym podobne jednak jest jedna rzecz jesli ktos znajdzie XSS(wszystkie znalezione zostaly zalatane) wyciaga lvl,name,kod i vip'a user'a wtedy za pomoca live http headers zmienia cookie i ma konto danej osoby wiem bo juz tak probowalem w lukach ktore znalezlismy i zastanawiam sie czy jesli przy zmiane cookie musialby by tez podac do get id user'a ktory sie zalogowal to by przed xss zabezpieczylo bo pass'ow w cookie nie trzymam
tylko teraz pytanie jest czy przy XSS jest mozliwosc ukradniecia tego id user'a z geta lub nie bo nie probowalem a nie mam jak musialbym wszystko pisac na nowo dlatego pytam czy warto robic taka przerobke?