[php] login con accesso e sessione sicura

[Gomna]

sto implementando un sito in php che deve essere gestito tramite un modulo di amministrazione.
vorrei sapere a cosa devo porre attenzione nel creare un processo di autenticazione e mantenere una sessione sicura.
per ora utilizzo dei cookie con delle variabili nella sessione per fare un controllo incrociato con il db.
cosa mi consigliate?

[francys]

nei vari siti che ho fatto, non ho mai utilizzato cookies. Dal momento che possono venire arbitrariamente modificati non mi danno un senso di "sicurezza". Uso sempre variabili di sessione, ma la mia conoscenza è limitata.

[Finn]

Cerca sul sito www.php.net la funzione: session_start()

[Gomna]

Cerca sul sito www.php.net la funzione: session_start()

scusa, ma non capisco come mai tu mi abbia indicato una funzione che già uso...

[Brunitika]

In un sito di calcio utilizzo lo stesso sistema per proteggere delle pagine verificando la presenza di una variabile di sessione creata dopo verifica dell'esistenza dello username e la password presenti in un db; in caso contrario effettuo un redirect con un "header('Location: ...');" che impedisce la lettura della pagina mandando subito alla pagina iniziale. Non essendo un esperto di php non posso dirti quanto è sicuro; empiristicamente ti posso però dire che in circa 6 mesi non ho mai avuto problemi di "abusi".

[Finn]

scusa, ma non capisco come mai tu mi abbia indicato una funzione che già uso...

Non ti ho indicato una fuzione, ma la sua pagina di manuale 
Appena sotto la descrizione della funzione, ci sono tonnellate di esempi d'uso, problemi e soluzioni ecc ecc

Personalmente non uso volentieri i cookies tranne che per salvare il session id, tutto il resto è salvato come variabile di sessione (quindi presente solo server side).
Per rendere un po' piu' sicuro il modulo amministrativo potresti usare HTTPS, ad esempio forzando tramite .htaccess l'uso di detto procotollo all'interno di una directory amministrativa. Tutto ciò che proviene dal client è da considerarsi insicuro, ma almeno così ti proteggi un po' da attacchi di tipo session hijacking.

[Gomna]

mi puoi spiegare, anche in modo sintetico, come sfruttare il session id?

[Finn]

Il session id è ciò che identifica la sessione associata all'utente. Quando richiami session_start() viene creata una nuova sessione, a meno che non sia fornito un "numero" di sessione tramite parametri (sia GET che POST) o cookie.

Maggiori riferimenti sono recuperabili nella documentazione PHP