No hay mucho que hacer ... no deje que sus archivos de sesión se limpien (ini setting session.gc_probability = 0
), y cambie la cookie de sesión de temporal a permanente (ini setting session.cookie_lifetime = however_long_you_want_the_user_to_be_remembered
).
Por supuesto, es probable que desee eliminar eventualmente los archivos de sesión obsoletos, por lo que puede experimentar con muy baja probabilidad de que ocurra la limpieza o realizar una limpieza externa. De cualquier manera, mientras el usuario mantenga la cookie de sesión y guarde el archivo de sesión, serán "recordados".
he intentado almacenar nombre de usuario y contraseña en la galleta – Saqueib
OK. Eso es un comienzo. Pero si intercepto esa cookie, entonces queda expuesto. Mira lo siguiente: http://stackoverflow.com/search?q=php+session+hijacking –
Mala idea. No solo cualquier persona en esa máquina puede leer el combo user + pass, sino que cualquier XSS que envíe 'document.cookie' podrá ver su nombre de usuario/contraseña al pie de la letra. – alex