Cuando muestre una página con contenido que solo haya iniciado sesión, los usuarios deberían verlo, simplemente lo verifico
if(isset($_SESSION['hasLoggedIn']))
{
//show content
}
else
{
echo 'you must log in';
}
En este artículo se recomienda verificar la dirección IP y navegador cada vez.
$_SESSION['login_string'] = hash('sha512', $password.$ip_address.$user_browser);
¿Es esto necesario? Pensé que como las variables de sesión solo existían en el servidor, ¿no son propensas a ser atacadas? No entiendo por qué $password
está ahí. Si se pasa la contraseña a cada página, ¿no sería más fácil consultar la base de datos con el ID de usuario o la contraseña, o es la idea de que de esta manera no es necesario consultar la base de datos (lo que requiere mucho tiempo)? ?