Witam,

Moje pytanie brzmi, czy jeśli pod utworzoną zmienną sesji będę przechowywał identyfikator użytkownika i za jego pomocą będzie określany dostęp użytkownika do strony to czy to jest bezpieczne? Jaka jest szansa i czy jest możliwość podmiany tego identyfikatora.

Mam np.

[PHP] pobierz, plaintext 
<?php
   session_start();
   $_SESSION['identyfikator'] = $id;
?>
[PHP] pobierz, plaintext 

i czy jest możliwość że włamywacz podmieni w jakiś sposób id i dostanie się na konto innego użytkownika? Jakie są bezpieczniejsze sposoby?

Pozdrawiam.

Jeśli użytkownik zaloguje się poprawnie ustawiasz jakąś wartość w sesji, po której będziesz sprawdzał czy jest zalogowany - to oczywiste. Natomiast bezpieczeństwo takiej sesji zależy od wielu czynników. IMO trzymanie sesji w bazie na serwerze jest najbezpieczniejsze.
Ten temat był wiele razy poruszany na forum.

http://forumphp.nq.pl/index.php?showtopic=86697&st=0
http://forumphp.nq.pl/index.php?showtopic=92769&hl=

Dalej poszukaj sam.

pzdr.

http://pl.wikibooks.org/wiki/PHP/Sesje#Bez...C5.84stwo_sesji

session_regenerate_id(); - poczytaj i używaj ;]

http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji.freez