Я читал, например, о безопасности сеанса. Фиксация сеанса, захват и внедрение, но я не понимаю, как работает безопасность сеанса. Как я обычно это делаю:
// when user logins,
$_SESSION["user"] = "someuser";
// check user login
if (isset($_SESSION["user"]) && !empty($_SESSION["user"]))
Возможно, я делаю это неправильно, но у меня нигде нет идентификаторов сеанса, или, по крайней мере, я не использовал его. Может ли кто-нибудь объяснить, как следует использовать идентификаторы сеанса и как это влияет на безопасность сеанса? Также, правильно ли я понимаю следующие угрозы?
Мое понимание фиксации сеанса кажется мне очень неправильным. Если это правильно, не будет ли это означать, что хакеры могут случайным образом использовать идентификаторы сеансов, и я, скорее всего, буду использоваться существующим пользователем?