無料プランと有料プランのWebアプリケーションがあります。
ユーザーはプランを選択してからサインアップします。サインアップした後、彼が支払う前に、私は無料のアカウントでユーザーにログインします。彼が支払い、トランザクションコールバックが成功したら、彼が支払った新しいプランで彼に再度ログインしたいと思います。私がこれを行うことを考えた1つの方法は次のとおりです。
1)ユーザーがサインアップします2)彼は無料のアカウントに登録され、ハッシュされたパスワードはphpセッション変数として保存されます3)彼は支払います4)トランザクションは成功します5)ハッシュされたパスワードセッション変数を検索するphpファイルを呼び出しますそれに基づいてユーザーを更新します
この方法に明らかに問題がありますか?ハッシュされたpwordをセッション変数として使用しても大丈夫ですか?このフローには明らかなセキュリティリスクがありますか?