Czy przy logowaniu bezpieczniejsze od samej sesji login jest sesja login+hasło i za każdym razem porównywanie tego z danymi z mysql czy lepszym, tak samo bezpieczenym rozwiązaniem jest po prostu sprawdzenie poprawnośći hasła i loginu a później jedynie nadanie sesji na login?

Chodzi mi tu o bezpieczeństwo, jednym słowem, czy hacker może nadać sesję na mój serwis, gdzie login jest zmyślony

http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji.freez

oraz

http://www.google.co.uk/search?source=ig&a...earch&meta=

W sesji trzymaj tylko info identyfikujące usera, który jest już zalogowany.
Wystarczy, a nie zmusi do niepotrzebnego korzystania z bazy zbędnego.
Sesji nikt Ci nie nadpisze.

o to mi właśnie chodziło, to znacznie podwyższa wydajnośc serwisu

Pozdrawiam

Oczywiście pod warunkiem, że stoi na dobrym serwerze w którym są wystarczające zabezpieczenia. Zdarzają się jednak przypadki, gdzie jest to możliwe - wystarczy drugie konto na tej samej maszynie. Ja jednak wolę się pod tym względem zabezpieczyć i pobieram dane usera inne niż login i hasło oddzielnym zapytaniem.