PHP Краткосрочная память пароля

Question

Я пишу конструктор форм и обрабатывающий плагин для WordPress. Чтобы помочь бороться с регистрацией спама, я решил, чтобы пользователь вводил всю свою информацию на главной странице регистрации. Затем после отправки они перейдут на страницу подтверждения, чтобы просмотреть их информацию, прежде чем они будут зарегистрированы и помещены в базу данных.

Мой вопрос: какой самый безопасный способ хранить пароль пользователя на стороне сервера в течение короткого времени, когда пользователь просматривает их информацию до подтверждения и завершения процесса регистрации.

В настоящее время я помещаю все данные пользователя в переменные сеанса, а затем обрабатываю переменные при успешной регистрации. Безопасно ли хранить пароль в сеансе или мне нужно создать скрытое поле формы на странице для хранения пароля?

спасибо.

Answer 1

Использование скрытых полей, вероятно, является наихудшим вариантом, который вы могли бы выбрать, кроме того, визуально отображая его на странице.

Нет ничего плохого в переменных сеанса, и если вы хотите сделать еще один шаг, вы можете сказать, что если вам не нужен пароль после того, как он был проверен/проверен, хеш, он сохранит хэш в сеансе, а не пароль открытого текста. Если вы храните его как хэш, и он сохраняется только (в уже относительно) в течение минуты или около того, пока клиент не завершит ваш процесс UX, тогда вы снова отключите его после того, как вы отправили его на свой базы данных, нет проблем.

Готовьте, чтобы переменные сеанса находились на сервере, а не на клиенте, поэтому они настолько же безопасны, как и любая другая информация, которую вы защищаете в своей системе. Это противоречит тому, что вы храните пароль в скрытом поле в своем HTML, который является клиентским и уязвим.