[danjel]

Som SimonP sa så ändrar du endast värdet på en session, vilket inte har med säkerheten att göra.
Det du nog vill göra som jag förstår är att använda session_regenerate_id();
det är bra för att hindra s.k "Session Fixation".

Annat man kan göra:
För att försvåra s.k "Session Hijacking", överväg att kolla om User-Agent ändras mellan olika requests, det bör den inte göra och det kan indikera att sessionen har "kapats".

ini_set("session.cookie_httponly", true); // stop XSS javascript cookie attacks for browers that support it
ini_set("session.use_only_cookies", true); // do not allow session_id in URLs


Annars så antar jag du använder ett webbhotell?
Skulle säga att då är det mer viktigt att använda databas sessioner om säkerhet bedöms som kritisk. Även om du har en egen filmapp för dina sessioner så tänk på att det enda som krävs för att få fram sessions id och därmed kunna "hacka" din site (i värsta fall inloggning med admin rättigheter) är åtkomst till den mappen.

[robincox]

Citat:

Ursprungligen postat av danjel

Annars så antar jag du använder ett webbhotell?
Skulle säga att då är det mer viktigt att använda databas sessioner om säkerhet bedöms som kritisk. Även om du har en egen filmapp för dina sessioner så tänk på att det enda som krävs för att få fram sessions id och därmed kunna "hacka" din site (i värsta fall inloggning med admin rättigheter) är åtkomst till den mappen.

chmod 703 borde ju då vara säker eftersom ingen person utifrån kan läsa i mappen.