peki hocam bu user admin mi değil mi diye kontrol ederken mesela $_SESSION['userCakeUser']->permission=2 diye kontrol etsem güvenlik sıkıntısı çeker miyim ?
güvenlik sıkıntısı o kontrol için çekmezsiniz.
session bilgilerini veritabanından aldığınız için veritabanı sql sorgunuza injection yapılmamasını sağlıcaksınız. gpc yani get post cookie dışardan gelen tüm verileri kontrol ediceksiniz, filtreleme yapıcaksınız.
session oturum bilgileri default olarak tmp dizininde tutulmaktadır. buna müdahale edilebilir mi dersen, sunucuna sızma olmadan imkansız. Ama sen tmp dizinini değiştirip sitenin public dizininde tanımlarsan (public_html,www vs) o zaman riske atarsın, extra bir session dizini için güvenlik önlemi almaz isen.
php session bilgileri default olarak metin dosyasında tutar. güvenlik, ektra başka şeyler için sen session verilerini veritabanı ram vs üzerinde saklamak istersen php buna da imkan sağlamaktadır.
http://php.net/manual/en/function.se...ve-handler.php