[php] zabezpieczenie strony Opcje

[marcinek37]

witam,

1. zabezpieczyłem system wg wskazówek zawartych na stronach:
- http://php.pl/Wortal/Artykuly/Bezpieczenst...wa-skryptow-PHP
- http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php
oczywiście w internecie są setki podobnych artykułów, jednak nie wnoszą niczego nowego do dyskusji o bezpieczeństwie
czy informacje zawarte w nich są wystarczające? czy mam na coś innego zwrócić uwagę?

2. moje logowanie wygląda tak, że podaję login i hasło, system sprawdza, czy owy login jest w bazie, jeśli jest, to sprawdza, czy podane hasło po przejściu przez md5 jest zgodne z tym z bazy danych
jeśli jest powstają dwie sesje, w jednej podany jest numer ID użytkownika, a w drugiej znajduje się hasło po przejściu po funkcji md5

następnie po każdym odświeżeniu strony, system wie, że mam te dwie sesje, ale i tak je sprawdza, czy użytkownik o ID z sesji ma w bazie takie samo hasło jak te z sesji

czy to bezpieczne? czy może warto coś z tym zrobić?

[marcinek37]

2. możesz po krótce powiedzieć, jak działa PHPass?

3. czyli ktoś się loguje, ja sprawdzam czy dane się zgadzają, jeśli tak, wykonuję taki kod:

[PHP] pobierz, plaintext 
<?
$_SESSION['user_id'] = $r['id']; // wiadomo, powyżej powinno być zapytanie, nie podaję go, aby było szybciej
$_SESSION['user_agent'] = $_SERVER['HTTP_USER_AGENT'];
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
?>
[PHP] pobierz, plaintext 

i potem, aby sprawdzić, czy ktoś jest faktycznie zalogowany, dodać:

[PHP] pobierz, plaintext 
<?
if(isset($_SESSION['user_id']) && $_SESSION['user_agent'] == $_SERVER['HTTP_USER_AGENT'] && $_SESSION['user_ip'] == $_SERVER['REMOTE_ADDR']){
echo'zalogowany';
}
else{
echo'niezalogowany';
}
?>
[PHP] pobierz, plaintext