[Intet]

Håller på att utvecklar en sajt med inloggningsmöjligheter för användare. Jag har i ett första utkast gjort så att vid lyckad inloggning (matchat användarnamn och lösen i databasen) så sätts en sesionsvariabel som är samma som "UserID" i databasen.

Nu börjar jag fundera på hur säkert det egentligen är. Kan man manuellts skapa sesionsvariabler på en webbsajt för att på så sätt "logga in" på andras konton? Eller räcker det som säkerhet?

Påpekas skall att det inte handlar om någon känslig information för användarna, så inga kontonummer eller liknande riskeras att komma ut någons konto blir kapat.

Kan jag köra med "sesionsvarabel-varianten" eller är jag ute och cyklar?