現在、私の友人と私は一緒にサイトに取り組んでいます。ログイン システムはダウンしていますが、セッションを使用しています。私自身、ログインには常に Cookie を使用してきましたが、友人はセッションを好みます。私は彼に、データベースと比較して正確なユーザーであることを確認できるセッションを 2 つ以上持つべきだと言い続けています。
例えば:
$_SESSION['id'] = $YourId;
$_SESSION['salt'] = $SomethingElseTheDatabaseHas;
これにより、データベースが比較できる 1 つのセッションだけではなく、より安全になります。
セッションデータはサーバー側に保存されるため、複数のセッション変数を使用して情報を保存してもセキュリティには何の影響もありません。クライアントがセッションについて知っているのは、Cookie に保存されているセッション ID だけです。サーバーはセッション ID を使用して、ユーザーのデータを検索します。ユーザーを識別するために Cookie に格納されたハッシュを使用している場合は、基本的に同じことを行うセッションを使用することもできますが、ユーザーのデータの操作がはるかに簡単になります。
Cookie を使用してデータを保存するという意味が正確にはわかりませんが、サーバーが認証に使用するユーザー ID を含む Cookie をクライアントが保持することを意味する場合は、基本的にユーザーを許可するため、すぐに書き直す必要があります。彼らが望む誰にでもなるために。