Сегдня начитался статей, и совсем сбился с толку.
Цитата |
Последний риск, о котором мы поговорим, — это использование сессионных идентификаторов. Проще говоря, не пробуйте когда-либо посылать id-сессии пользователю. Сессии не безопасны, но если вы передаете сессионный id, вы подвергаетесь риску того, что кто-то другой, отличный от ожидаемого пользователя, так называемый man in the middle, завладеет сессией пользователя. Пример — перехват сессии интернет-магазина. Злоумышленник может получить данные кредитной карты, изменить адрес доставки или сделать кое-что еще более злонамеренное, зависящее от системы. |
session_start();
if (isset($_POST["username"])) { $_SESSION['username'] = $_POST["username"]; }
if (isset($_POST["password"])) { $_SESSION['password'] = $_POST["password"]; }
if (($_SESSION['username'] == $config_username) and (md5($_SESSION['password']) == $config_password) and ($_SERVER['REMOTE_ADDR'] == $config_range_ip)) {
$_SESSION['valid'] = "1";
} else {
$_SESSION['valid'] = "0";
if ($_GET["p"] !== "login") {header("Location: ".$_SERVER["php_self"]."?p=login");}