ログイン後のユーザーページを表示させるのに、セッションを使っているのですが、
これはセキュリティ的にやはり危ないのでしょうか?
というのも、現在、パスワードなどの認証後、$_SESSION["userid"]= $userid みたいな感じで、
値をいれ、各ページでその値が空でなければ、$_SESSION["userid"]の値を元に、
個々のユーザーのデータを抽出して、表示させています。
ただ、$useridはDBからそのまま持ってきた値を使っています。
だから、会員ナンバー1の人はその$useridが1となってます。
これは、すごい危険ですかね?
もし、よろしければ、どういった管理をすれば良いのかアドバイスをください。
宜しくお願いします。