Citat:
|
Ursprungligen postat av Adestro
Citat:
|
Ursprungligen postat av Fredrik S
Intet: Kör på sessioner, men undvik att lagra känsliga uppgifter i sessionsvariabler. Om möjligt så lagrar du bara user-id.
|
Det är väl just det man inte ska göra? Hasha som sagt ihop id, ip och e-post åtmindstonde.
|
Helt rätt, tar man med IP så kan man göra en check som gör att sessionen blir låst till sin ursprungliga IP-adress. Och kommer något anrop från en annan IP-adress så dödas t.ex. session. Att hasha ihop userid + ip eller ha dessa i olika sessionsvariabler är väl en smaksak.
Men vad vinner man på att ha med e-postadressen?