Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? Opcje

[infoo1]

Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies.
2. Struktura tabeli z sesjami:

Kod

+---------+------------+--------------+---------+------------+-------------+
| user_id | session_id | user_browser | user_ip | start_time | remember_me |
+---------+------------+--------------+---------+------------+-------------+

Objaśnienia:

• user_id:
  id użytkownika z tabeli prefix_users
• session_id:
  "sid". Planuję go przekazywać w adresie (index.php?mode=blablabla&sid=tu_sid). //W PHP była funkcja generująca sid. Jak się nazywała?
• user_browser:
  $_SERVER['HTTP_USER_AGENT'];
• user_ip:
  $_SERVER['REMOTE_ADDR'];
• start_time:
  time(); przy logowaniu. W konfiguracji ustalam po jakim czasie ma wylogowywać (tabela prefix_config).
• remember_me:
  auto-logowanie

3. Przy każdym odświeżeniu strony sprawdzam, czy zgadza się user_browser, user_ip, start_time, session_id.
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji.
Pytania:
1. Czy to bezpieczne? Coś pominąłem?
2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu?
3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)).

Ten post edytował infoo1 12.12.2008, 22:05:22

[ucho]

Strasznie to wszystko skomplikowane - do podstawowego celu, czyli wiele sesji w jednej przeglądarce wystarczy pewnie

Kod

session.use_trans_sid = 1
session.use_cookies = 0
session.use_only_cookies = 0

w php.ini lub ustawione za pomoca ini_set(). Ale imho przechowywanie identyfikatora sesji w SID jest dość niebezpieczne - świetnie je widać choćby w logach wszelakich proxy. Ponadto użytkownicy zawsze wysyłając linki znajomych podają je z SIDem - a szansa, że są w jednej sieci, i mają identyczną przeglądarkę mimo wszystko jest całkiem duża.