[PHP]Logowanie, wylogowywanie, trzymanie sesji Opcje

[matiit]

W celach naukowych piszę sobie CMS'a.
Mam tam między innymi panel admina. Logowanie przebiega tak:
Na początku każdej strony jest session_start();
Logowanie: plik login.php dostaje od formularza postem login i haslo, login i hash hasła są sprawdzane w bazie danych, jeśli wszystko się zgadza tworzę $_SESSION['logged'] = 'yes';
I strona może wyświetlać 2 widoki - dla użytkownika zalogowanego i dla użytkownika niezalogowanego. Warunek zalogowania? Czy istnieje zmienna $_SESSION['logged'] i czy jest ustawiona na yes. Jeśli tak wyswietla się content dla zalogowanych, jeśli nie - wyświetla się content dla niezalgowanych, np. loginform.
Wylogowanie:
W skrócie:

[PHP] pobierz, plaintext 
unset($_SESSION['logged']);
	session_destroy();
[PHP] pobierz, plaintext 

I pojawiają się 2 pytania... Czy jest to bezpieczne? Czy ktoś nie może sobie utworzyć zmiennej sesyjnej takiej jak podana i sie po prostu wbić?
Gdzie przechowywać takie dane jak id zalogowanego usera? Przydatne przy np. zmianie hasła.

Ten post edytował matiit 11.01.2010, 22:34:37

[Kshyhoo]

[PHP] pobierz, plaintext 
if ($_SESSION["czas"] and $_SESSION["czas"]+60*30<time()) { // 30 minut i następuje wylogowanie
  echo "Sesja wygasła - nastąpiło automatyczne wylogowanie...";
  session_unset();
  session_destroy();
}
$_SESSION["czas"] = time();
[PHP] pobierz, plaintext 

Automatyczne wylogowanie po 30 minutach