Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? Opcje

[infoo1]

Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies.
2. Struktura tabeli z sesjami:

Kod

+---------+------------+--------------+---------+------------+-------------+
| user_id | session_id | user_browser | user_ip | start_time | remember_me |
+---------+------------+--------------+---------+------------+-------------+

Objaśnienia:

• user_id:
  id użytkownika z tabeli prefix_users
• session_id:
  "sid". Planuję go przekazywać w adresie (index.php?mode=blablabla&sid=tu_sid). //W PHP była funkcja generująca sid. Jak się nazywała?
• user_browser:
  $_SERVER['HTTP_USER_AGENT'];
• user_ip:
  $_SERVER['REMOTE_ADDR'];
• start_time:
  time(); przy logowaniu. W konfiguracji ustalam po jakim czasie ma wylogowywać (tabela prefix_config).
• remember_me:
  auto-logowanie

3. Przy każdym odświeżeniu strony sprawdzam, czy zgadza się user_browser, user_ip, start_time, session_id.
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji.
Pytania:
1. Czy to bezpieczne? Coś pominąłem?
2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu?
3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)).

Ten post edytował infoo1 12.12.2008, 22:05:22

[infoo1]

1. 2 (i więcej) sesje się zlepiają w jedną, czyli user jest zalogowany w dwóch oknach na tej samej stronie, ale jako inny użytkownik (nie, nie multi-account. To jest konieczne, a nie chcę robić dodatkowych identyfikatorów.).
2. Zwykłe sesje są nieco przestarzałe.
3. Łatwiej hacknąć stronę na zwykłych sesjach, niż dobrze zrobioną na bazie (sprawdzałem).