PHP μπορούν οι μεταβλητές του $_SESSION να αλιωθούν από τους χρήστες ?

[xlomo]

Η ερώτηση είναι σχετικά απλή, στην PHP είναι φρόνιμο να αποθηκεύουμε μεταβλητές που αφορούν τα δικαιώματα του χρήστη (πχ. το user ID ή αναγνωριστικά για το αν είναι admin ή όχι) σε μεταβλητές στο $_SESSION ? Αν όχι, ποια είναι η βέλτιστη λύση ώστε να μην χρειάζεται να τα διαβάζουμε κάθε φορά από τη βάση δεδομένων;

[defacer]

Είναι φρόνιμο και ασφαλές, ναι.

 

Φυσικά πρέπει να έχεις υπόψη ότι και το session δεν είναι η νεράιδα με το μαγικό ραβδί, και αυτές οι πληροφορίες κάπου αποθηκεύονται και κάθε φορά τις διαβάζεις από εκεί. Απλώς επειδή by default αυτό το κάπου είναι αρχεία στο temp directory του συστήματος (δηλαδή σε τοπικό δίσκο), το γράψε σβήσε είναι πιο γρήγορο από τη database.

[xlomo]

rookie ερώτηση, στον temp του server έτσι ? server side είναι το $_Session σωστά ?

[defacer]

Ναι και ναι. Αν ήταν client side προφανώς θα μπορούσε ο καθένας να το αντικαταστήσει με ότι του αρέσει (όπως μπορεί να κάνει με το session ID, βάσει του οποίου εσύ μετά διαβάζεις τα περιεχόμενα του $_SESSION).

[xlomo]

Ευχαριστώ defacer για τις διευκρινήσεις.