[PHP]Wlasny mechanizm sesji, problem z ciastkiem... Opcje

[Zgredzik]

Czesc, robie wlasny mechanizm sesji i mam problem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Dokladnie chodzi o informacje przechowywane w ciasku, wiec zacznijmy od poczatku... Sesje obejmuja tylko uzytkownikow zalogowanych... W ciastku planowalem przechowywac ID uzytkownika z bazy oraz hash jego IP+odpowiednie dosolonie, ciastko takie ma dosc ktorki termin i nikt z tego ciastka raczej nie skorzysta z pod innego adresu IP. Problem polega na tym ze jesli wprowadze opcje "zaloguj automatycznie/zapamietaj mnie" to w erze dynamicznego adresu IP okres zycia takiego ciastka zamiast 7dni wyniesie 24h - czyli do puki nie zrestartuje sie np taki modem Neostrady - wtedy adres IP zostaje zmieniony a podczas porownywania hashy mamy FALSE (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Pytanie: w jaki sposob zapisac informacje w ciastku uwzgledniajac jego dlugi termin waznosci (do autologowania) tak aby ktos kto wykradnie ciastko Kowalskiego nie mogl z niego skorzystac...

Hm tak sobie analizowalem CMS Fusion i oni cale ciastko zrobili w sposob...
w ciastku jest hash MD5 hasla zas w bazie danych zostaje przechowywane to samo haslo podwojnie hashowane za pomoca MD5. Jaki sens?
Wiec? Osoba majaca dostep do ciastka kowalskiego moze wejsc na jego konto z innego komputera za posrednictwem tego wlasnie ciastka...?(IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) ?

[erix]

+ IP +

Wtedy to będzie pozbawione sensu...

Owszem, identyfikator przeglądarki jak najbardziej (w końcu to jej ciasteczkowy potwór dał prezent), ale IP + ADSL = funkcja bezużyeczna...

W drugim ciastku możesz dodać jeszcze ID użytkownika.

Liczbę ciastek trzeba ograniczać, gdyż są doklejane do każdego żądania. Wystarczy odpowiedni identyfikator powiązany z danymi sesyjnymi zapisanymi w bazie i porównywanie przy każdym wywołaniu.