Можно создать соль (случайную строку), добавить ее в строку идентификатора пользователя, затем md5 (или другое шифрование), сохранить тот же результат, что и файл cookie, и как переменную сеанса, затем включить скрипт php на защищенные страницы, чтобы сделать уверены, что как cookie, так и переменные сеанса совпадают?
Будет ли это безопасно?
Не более безопасно, чем позволить PHP генерировать идентификатор сеанса для вас автоматически, используя вызов session_start()
.
Он по-прежнему уязвим для того, чтобы кто-то украл ваш файл cookie с идентификатором сеанса.
Для лучшей безопасности используйте HTTPS и отметьте файлы cookie как HTTP-только, чтобы javascript не смог получить к ним доступ. Вы также можете сохранить IP-адрес пользователя в переменной сеанса и проверить, соответствует ли IP-адрес удалённому адресу пользователя, отправляющему вам ваш файл cookie.