[PHP] Prosty sposób na uwierzytelnianie użytkownika Opcje

[permanent]

Witam. Mam prostą stronę w PHP z systemem logowania użytkowników, kilkanaście podstron dostępnych po zalogowaniu i wyświetlane są osobne dane dla każdego użytkownika.

Jaki jest dobry, prosty i bezpieczny sposób na uwierzytelnianie użytkownika?

Jestem początkujący w PHP i chciałbym spytać czy mój sposób jest poprawny?

Plik index.php wyświetla stronę, w nim robię include podszczególnych podstron. Na samym początku mam:

[PHP] pobierz, plaintext 
session_start();
[PHP] pobierz, plaintext 

W formularzu logowania jeżeli dane z bazą się zgadzają to podstawiam nick pod pierwszą zmienną, druga zmienna to aktualny adres IP, trzecia to informacja o zalogowaniu:

[PHP] pobierz, plaintext 
$_SESSION['user_name'] = $q_user['username'];
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
$_SESSION['user_logged'] = 'OK';
[PHP] pobierz, plaintext 

Wcześniej jeszcze mam zdefiniowaną prostą funkcję:

[PHP] pobierz, plaintext 
function check_session()
{
	session_regenerate_id();
	if($_SESSION['user_logged'] == 'OK' && $_SESSION['user_ip'] == $_SERVER['REMOTE_ADDR']) return 1;
	else return 0;
}
[PHP] pobierz, plaintext 

No dobra, teraz przed wyświetleniem strony dla użytkownika robię:

[PHP] pobierz, plaintext 
if(check_session() == 1)
{
  // wyświetlenie podstrony
}
[PHP] pobierz, plaintext 

Przykładowe dane dla użytkownika wyciągam w sposób:

[PHP] pobierz, plaintext 
$query = mysql_query('SELECT * FROM `data` WHERE `user`="'.$_SESSION['user_name'].'"');
[PHP] pobierz, plaintext 

Dodatkowo mam funkcję, która na bieżąco sprawdza czy poruszamy się na stronie (ostatni ruch). Jeżeli przez 2 godziny nie korzystaliśmy ze strony to automatycznie wylogowywuje:

[PHP] pobierz, plaintext 
function destroy_session()
{
	global $unixtime;
	if(check_session() == 1)
	{
		$expirytime = 7200;
		if(!isset($_SESSION['last_trace'])) $_SESSION['last_trace'] = $unixtime;
		else if((int)$_SESSION['last_trace'] + $expirytime < $unixtime)
		{
			$sessionName = session_name();    
			$_SESSION = array();
			if(isset($_COOKIE[$sessionName])) setcookie($sessionName, '', $unixtime - 3600, '/');
			return 1;
		}
	}
}
[PHP] pobierz, plaintext 

No i w index.php:

[PHP] pobierz, plaintext 
if(destroy_session() == 1) echo 'Zostales wylogowany ze wzgledow bezpieczenstwa';
[PHP] pobierz, plaintext 

Proszę o opinie i rady. Strona jest prosta, jednak zawiera poufne dane użytkowników i nie dopuszczam żadnego włamu na stronę. Skrypt ma być prosty i bezpieczny. Kiedyś przy logowaniu miałem session_register(...), jednak mam nową wersje PHP i tego chyba już się nie używa?

Czy cokolwiek zmienić w tym kodzie? Czy jest to na 100% bezpieczny sposób? Pozdrawiam.

[b4rt3kk]

Zamiast sprawdzania IP użytkownika (co się stanie jeśli użytkownik korzysta z proxy?) korzystaj z ciasteczek (czy istnieje? czy zawiera prawidłowe dane?), sprawdzaj także czy klucz obecnej sesji (session_id()) zgadza się z tym który przypisano użytkownikowi.
Bardziej rozpowszechnionym rozwiązaniem jest przyrównywanie ID użytkownika, a nie jego nicku (sprawdzasz przy rejestracji czy taki już istnieje?) przy wykonywaniu zapytań.
Nie musisz mieć funkcji, która wylogowuje, wystarczy że ustawisz odpowiedni czas żywotności sesji.

To czy jest to bezpieczny sposób zależy także od tego jak wygląda formularz logowania od strony PHP.