Здравствуйте ! Начал недавно делать форму регистрации и входа, но передо мной встал вопрос - как лучше запоминать пользователя и какие именно параметры. Cookie доверия нет, т.к. их можно подменить, а сессии слетают при завершении сеанса браузера. Единственным возможным вариантом для меня остаётся хранение в cookie токена и логина пользователя, но всё равно я сомневаюсь в такой защите, да и доставать постоянно из БД и сверять токен или логин как-то не хочется...
Куки слетают при закрытии браузера. Сессионные. Те, которым дано жить подольше - не слетают. Логины-пароли (и хэши паролей тоже) не нужно хранить в куках. Если пользователь аутентифицирован - воспользуйся штатной сессией пхп-машины. Если хочешь автовход - храни в куке токен автовхода, связанный с пользователем. У пользователя может быть один или несколько автовходов - это тебе нужно решить на этапе проектирования. Автовход должен убиваться при запросе смены и смене пароля - это тебе нужно будет реализовать на этапе реализации.
@TeslaFeo нет, эта статья немного не по его проблеме. Она описывает как изнасиловать мускул/машку хранением сессионных данных в СУБД вместо файлов в системе. Уж лучше какое-нибудь хранилище в ОЗУ использовать типа редиски или мемкэша. Или каталог сессии на рамдрайв запихнуть. Да, РСУБД можно использовать, если делать таблицы в оперативной памяти. Но данная статья об этом не упоминает, следовательно таблицы будут созданы с дефолтным движком - майисам или иннодиби - и все сессионные дрочки будут так же лохматить жесткий диск. В общем плохая статья и совсем не в тему.