Sto costruendo un sito di e-commerce usando PHP, mysql, javascript.
La mia idea è di salvare un token, ad esempio un 50 caratteri guid, in un singolo cookie, e usarlo per identificare l'utente per ogni richiesta.
Vorrei quindi salvare altri elementi come cart_id, order_id, customer_id, logged_in (bool) e expires_at in una tabella delle sessioni del database.
Probabilmente aggiornerei il token su ogni richiesta corrispondente e rinnoverei la sua scadenza.
Mi piacerebbe sapere se questo sarebbe considerato un modo sicuro per mantenere una sessione, e se generalmente è una buona idea.
Inoltre, qualsiasi altra cosa che posso fare per rendere più sicura una sessione registrata sarebbe un vantaggio. Grazie.
Modifica
Questa è la funzione che sto usando per generare il mio guid:
<?php
function guid($length) {
$bytes = ceil($length/2);
$guid = bin2hex(openssl_random_pseudo_bytes($bytes));
return $guid;
}
Lo chiamo come segue:
<?php
$token = guid(50);