[PHP] Prosty sposób na uwierzytelnianie użytkownika Opcje

[permanent]

Witam. Mam prostą stronę w PHP z systemem logowania użytkowników, kilkanaście podstron dostępnych po zalogowaniu i wyświetlane są osobne dane dla każdego użytkownika.

Jaki jest dobry, prosty i bezpieczny sposób na uwierzytelnianie użytkownika?

Jestem początkujący w PHP i chciałbym spytać czy mój sposób jest poprawny?

Plik index.php wyświetla stronę, w nim robię include podszczególnych podstron. Na samym początku mam:

[PHP] pobierz, plaintext 
session_start();
[PHP] pobierz, plaintext 

W formularzu logowania jeżeli dane z bazą się zgadzają to podstawiam nick pod pierwszą zmienną, druga zmienna to aktualny adres IP, trzecia to informacja o zalogowaniu:

[PHP] pobierz, plaintext 
$_SESSION['user_name'] = $q_user['username'];
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
$_SESSION['user_logged'] = 'OK';
[PHP] pobierz, plaintext 

Wcześniej jeszcze mam zdefiniowaną prostą funkcję:

[PHP] pobierz, plaintext 
function check_session()
{
	session_regenerate_id();
	if($_SESSION['user_logged'] == 'OK' && $_SESSION['user_ip'] == $_SERVER['REMOTE_ADDR']) return 1;
	else return 0;
}
[PHP] pobierz, plaintext 

No dobra, teraz przed wyświetleniem strony dla użytkownika robię:

[PHP] pobierz, plaintext 
if(check_session() == 1)
{
  // wyświetlenie podstrony
}
[PHP] pobierz, plaintext 

Przykładowe dane dla użytkownika wyciągam w sposób:

[PHP] pobierz, plaintext 
$query = mysql_query('SELECT * FROM `data` WHERE `user`="'.$_SESSION['user_name'].'"');
[PHP] pobierz, plaintext 

Dodatkowo mam funkcję, która na bieżąco sprawdza czy poruszamy się na stronie (ostatni ruch). Jeżeli przez 2 godziny nie korzystaliśmy ze strony to automatycznie wylogowywuje:

[PHP] pobierz, plaintext 
function destroy_session()
{
	global $unixtime;
	if(check_session() == 1)
	{
		$expirytime = 7200;
		if(!isset($_SESSION['last_trace'])) $_SESSION['last_trace'] = $unixtime;
		else if((int)$_SESSION['last_trace'] + $expirytime < $unixtime)
		{
			$sessionName = session_name();    
			$_SESSION = array();
			if(isset($_COOKIE[$sessionName])) setcookie($sessionName, '', $unixtime - 3600, '/');
			return 1;
		}
	}
}
[PHP] pobierz, plaintext 

No i w index.php:

[PHP] pobierz, plaintext 
if(destroy_session() == 1) echo 'Zostales wylogowany ze wzgledow bezpieczenstwa';
[PHP] pobierz, plaintext 

Proszę o opinie i rady. Strona jest prosta, jednak zawiera poufne dane użytkowników i nie dopuszczam żadnego włamu na stronę. Skrypt ma być prosty i bezpieczny. Kiedyś przy logowaniu miałem session_register(...), jednak mam nową wersje PHP i tego chyba już się nie używa?

Czy cokolwiek zmienić w tym kodzie? Czy jest to na 100% bezpieczny sposób? Pozdrawiam.

[nospor]

, to chętnie je przeczytam jeśli będą wnosić coś więcej niż docinke

Yyy, że co? Jaką docinkę? Wypisujesz totalnie niepotrzebne rzeczy a ja ci zwracam na to uwagę. To nie jest żadna docinka,tylko zwrócenie uwagi, bo jeszcze jakiś początkujący, jak autor tego tematu, pomyśli że tak ma być. Wyluzuj chłopie bo ci żyłka na czole pęknie.

po co walidacja ? jak to każdego formularza. Na podstawie tego loginu i hasła idzie zapytanie do bazy, chyba że o czymś nie wiem

Mówimy tu o haśle. I hasła zazwyczaj do bazy nie wstawia się tak jak wpisuje user, tylko stosuje się hashe i tym podobne rzeczy.