Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? Opcje

[infoo1]

Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies.
2. Struktura tabeli z sesjami:

Kod

+---------+------------+--------------+---------+------------+-------------+
| user_id | session_id | user_browser | user_ip | start_time | remember_me |
+---------+------------+--------------+---------+------------+-------------+

Objaśnienia:

• user_id:
  id użytkownika z tabeli prefix_users
• session_id:
  "sid". Planuję go przekazywać w adresie (index.php?mode=blablabla&sid=tu_sid). //W PHP była funkcja generująca sid. Jak się nazywała?
• user_browser:
  $_SERVER['HTTP_USER_AGENT'];
• user_ip:
  $_SERVER['REMOTE_ADDR'];
• start_time:
  time(); przy logowaniu. W konfiguracji ustalam po jakim czasie ma wylogowywać (tabela prefix_config).
• remember_me:
  auto-logowanie

3. Przy każdym odświeżeniu strony sprawdzam, czy zgadza się user_browser, user_ip, start_time, session_id.
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji.
Pytania:
1. Czy to bezpieczne? Coś pominąłem?
2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu?
3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)).

Ten post edytował infoo1 12.12.2008, 22:05:22

[infoo1]

0) Ale jak sprawdzam browsera, to pokaże coś innego. Przykład:
pod FX mam:

Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

a pod badzIEwiem:

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)

1) Sprawdzam browsera, IP, sesję w $_GET['sid'] i XFF. Przykłady:

[PHP] pobierz, plaintext 
<?php
function get_user_id()
      {
        global $db;
        $user_browser = $_SERVER['HTTP_USER_AGENT'];
        $user_ip      = $_SERVER['REMOTE_ADDR'];  
        $sid          = $_GET['sid'];
  
        $sql   = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";
        $query = $db->sql_query($sql);
        $arr   = $db->sql_fetcharray($query);
  
        while ($rec = $arr){$user_id = $rec[0];}
  
        return $user_id;
      }
  
      function is_session()
      {
        $sql   = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";
        $query = $db->sql_query($sql);
        $arr   = $db->sql_fetcharray($query);
  
        $is_session = false;
        while ($rec = $arr){$is_session = true;}
  
        return $is_session;
      }
?>
[PHP] pobierz, plaintext 

get_user_id - pobiera id użytkownika; is_session - sprawdza, czy user jest zalogowany
2) Wiem, że nie zawsze dostanę te dane
3) Fakt, tutaj userzy mogą umożliwić innym hacknięcie. Na szczęście do mojego programu dostęp jest tylko z jednego budynku (serwer, a do niego podłączone komputery). Zastanawiam się nad 30 minutami. To powinno wystarczyć.