własna obsługa sesji w php5, teoria Opcje

[Apo]

Witam
Myśle nad stworzeniem własnej obsługi sesji w php5 i mysql. Chcia zrobić identyfikator sesji na podstawie adresu ip, uniqueid i time(), gdy skrypt stworzy ID to zapisze go do pliku a takiej nazwie jak np ip usera.
Gdy użytkownik będzie już miał swoje ID to skrypt otworzy ten plik odczyta ten ID i wykona zapytanie:
SELECT * FROM session WHERE ID = $ID AND IP = $REMOTE_ADDR;
No i wtedy otrzymam kolumne data gdzie będzie zserializowana tablica ze zeminnymi. Chciałem się zapytać czy takie rozwiązanie jest dobre ?
Ps. cookie odpadają

Pozdrawiam

[Ludvik]

Problem leży w tym, że użytkownicy będący za NAT-em mają wspólne IP. Kolejna sprawa to użytkownicy serwerów proxy, które nie zawsze zwracają poprawny nagłówek X-Forwarded-For. Z kolei na przykłąd neostradowcy mają zmienny adres.

Rozpoznawanie po przeglądarce/systemie jest zupełnie niebezpieczne, co za problem w żądaniu jeden nagłówek podstawić.

Ktoś powie, że ciastka można ukraść, ale trzeba mieć dostęp do systemu plików, a z tym będzie trochę większy problem. Czyste ciastka z unikalnym identyfikatorem sesji są według mnie najlepszą metodą przenoszenia sesji pomiędzy żądaniami. Nie ma sensu dodawać adresu IP, gdyż uderzy to w użytkowników, którzy mają zmienny adres.

Jaki jest sens w wyłączaniu ciastek? Można ograniczyć przyjmowanie ciastek do zaufanych adresów, wtedy problem z prywatnością zniknie. Tak jak pisał mike_mech - 1.5% to zdecydowana mniejszość, którą nie należy się przejmować. Jak komuś zależy na funkcjonalności strony, to włączy...