вот ты фантазёр. если мы говорим о хостингах, где "дыры, дыры" то там что хочешь может случиться. а на собственных проектах наверное можно не париться вобще. Если нужна безопасность гарантированная, то хардварные ключи, как уже говорил не раз. А для всех остальных хватит. Аминь.
знаем знаем)) "миллионы мух не могут ошибаться" (c) не используем потому что ненужно. когда будет нужно и оправданно - заюзаем. проблем нет. другое дело что большинству проектов это просто не нужно. там дыр хватает настолько, что HMAC совершенно не влияет на общую уязвимость сайта, ибо это всего лишь одно из многих направлений защиты. а так как, еще со школьной скамьи известно, что прочность цепи = прочности её самого слабого звена, получаем что HMAC реально нужен очень немногим, кто работает с некими очень ценными данными, и строит защиту сразу по всем фронтам. остальные просто ведутся на то что это модно и просто пусть будет, ибо так вроде делают все. хотя этих все никто не видел )))
Балаболки вы никчемные ))) Я сейчас написал простенький скрипт, запустил на обычном хостинге уважаемого российского провайдера. Мой сайт сессии не использует вообще, все файлы принадлежат чужим сайтам на том же сервере. выводы делайте сами. Если вы лентяи еще не в курсе, то имя файла у сессии PHP формируется так: "sess_{$session_id}". т.е. имя однозначно подсказывает что ввести в куку PHPSESSIONID ))) Даже читать содержимое не надо.
Vovchik48, тебе уважуха, что ты сразу озаботился вопросом безопасности. Лучшее решение — вырезать авторизацию из массового изделия, ну хоть из вордпреса или с движка форума, разобраться как оно работает и использовать в своих целях. Только возьми движок из первой десятки, чтобы бОльшую часть наебосов там уже решили! Не стоит копировать "решения" с форумов от таких спецов же как ты. Это круговорот говна. Сами же советчики через год будут эксплуатирувать уязвимости, которые тут нечаянно посеяли, а кто-то скопировал )))
artoodetoo, упускаешь один простой момент - путь к папке, в которой лежат файлики с сессиями можно указывать самому. Это всего лишь один вызов одной функции. В своих проектах я всегда так делаю. И сессии лежат в папке моего пользователя на хостинге, но выше папки public_html
в личку чиркну. они в принципе все такие, не хочу выставлять дураками одних их лучших ))) у них хотяюы Permission denied при попытке открыть чужой файл ))) Добавлено спустя 31 секунду: на самом деле это сфера ответственности вебмастеров, а не хостеров.