Witam.

Napisałem skrypt przy pomocy biblioteki GD2, który generuje obrazek. Ma to być zabezpieczenie przed spamem, więc: losuję jakiś ciąg znaków, wrzucam go na obrazek - zadaniem użytkownika jest jego bezbłędne przepisanie do inputa w formularzu. Problem polega na tym, że po przeładowaniu strony, nie mam z czym porównać wpisanego stringa. W jaki sposób przekazać do kolejnej strony pierwotny ciąg znaków wylosowany przez skrypt? metody get i post odpadają, bo ciąg można bez problemu odczytać, a zmienna sesyjna również nie jest do końca bezpieczna z tego co wiem. Jak poradzić sobie w tej sytuacji?

Czemu zmienna sesyjna nie jest bezpieczna?

W przeglądarce firefox jest pewne narzędzie do zarządzania plikami cookies. Jeśli stworzymy zmienną sesyjną to jest dostępna w tym narzędziu obok ciasteczek. Domyślam się, że można jakoś wyciągnąć z niej wartość.

Sesje są po stronie serwera, ciastka po stronie klienta.
Nie można tak sobie odczytać wartości sesji.
Jak się nazywa ten dodatek do Firefox'a?

Web Developer Tool. ;p

To obala moją teorię.

Chodzi mi o narzędzie dostępne w opcjach. jesli używa Pan najnowszej wersji firefoxa to wchodząc w opcje, w zakładce 'Prywatnść' wystarczy kliknąć 'usuń pojedyncze ciasteczka' i wpisując w filtr adres strony przechowującej ciasteczka i enetualną zmienną sesyjną widać kilka pozycji. pozycja PHPSESSID to chyba to.

Nawet jeżeli ktoś już by przechwycił PHPSESSID to i tak nie można odczytać np. zmiennej $_SESSION['token'] od tak sobie.

No i? mam id sessji które powinno się zmieniać przy każdym nowym requeście a dane sesyjne są zapisywane po stronie serwera i nie widoczne dla użytkownika więc to jest miejsce na "bezpieczne" zmienne.

edit: zresztą to że to jest w ciachu to jest dla bezpieczeństwa by ktoś nie przechwycił Tobie sessji od tak

Rozumiem.

Zwiódł mnie jednak ten artykuł:
http://bukox.pl/php/bezpieczniejsze-sesje-w-php/

Zastosuj się do rad z artykułu i będzie okej.