Bezpieczny system logowania Opcje

[Displace]

Witam,

Próbuję od jakiegoś czasu napisać skrypt logowania, ale tak, aby był jak najbardziej bezpieczny. Jakiekolwiek włamanie na konto użytkownika jest w moim przypadku niedopuszczalne. W internecie dużo jest "poradników" czy też "kursów" na ten temat. A pisząc poradniki, jeszcze w cudzysłowu mam na myśli to, że w 95% przypadków jest to zwykły system oparty na sesjach, bez jakichkolwiek zabezpieczeń. W większości przypadków nie jest to też to, czego szukam.

Docelowo muszę napisać system logowania z możliwością zapamiętania użytkownika na danym komputerze - jedynym słusznym rozwiązaniem jest użycie sesji i cookies.

I teraz jak to ugryźć?
1) Czy wystarczy samo session_regenerate_id(), czy coś jeszcze można by było dorzucić do kodu?
2) Czy warto stworzyć osobną tabelę w bazie danych specjalnie dla sesji? Jeśli tak, to na jakiej zasadzie by to działało i jakie pola powinny się w niej znaleźć? Dla przykładu, oto tabele z phpBB3, niestety nie wiem w jaki sposób rozwiązano tam ten problem, gdyż cały kod tegoż forum jest za długi i nie da się go jednocześnie przeczytać i zrozumieć.

[SQL] pobierz, plaintext 
CREATE TABLE `sessions` (
  `session_id` varchar(32) BINARY NOT NULL DEFAULT '',
  `session_user_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `session_forum_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `session_last_visit` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_start` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_time` int(11) UNSIGNED NOT NULL DEFAULT '0',
  `session_ip` varchar(40) BINARY NOT NULL DEFAULT '',
  `session_browser` varchar(150) BINARY NOT NULL DEFAULT '',
  `session_forwarded_for` varchar(255) BINARY NOT NULL DEFAULT '',
  `session_page` blob NOT NULL,
  `session_viewonline` tinyint(1) UNSIGNED NOT NULL DEFAULT '1',
  `session_autologin` tinyint(1) UNSIGNED NOT NULL DEFAULT '0',
  `session_admin` tinyint(1) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`session_id`),
  KEY `session_time` (`session_time`),
  KEY `session_user_id` (`session_user_id`),
  KEY `session_fid` (`session_forum_id`)
) TYPE=MyISAM;
 
CREATE TABLE `sessions_keys` (
  `key_id` varchar(32) BINARY NOT NULL DEFAULT '',
  `user_id` mediumint(8) UNSIGNED NOT NULL DEFAULT '0',
  `last_ip` varchar(40) BINARY NOT NULL DEFAULT '',
  `last_login` int(11) UNSIGNED NOT NULL DEFAULT '0',
  PRIMARY KEY  (`key_id`,`user_id`),
  KEY `last_login` (`last_login`)
) TYPE=MyISAM;
[SQL] pobierz, plaintext 

3) W jaki sposób rozwiązać problem z zapamiętaniem użytkownika, co wysyłać w ciastkach aby było w miarę bezpiecznie?


Nie przyjmuję gotowców! (choć chyba i tak nikt mi go dawać nie zamierzał (IMG:style_emoticons/default/winksmiley.jpg) ) Proszę tylko o jasne nakreślenie mi tego w jaki sposób mógłbym to napisać, aby było w miarę prosto, ale i bezpiecznie. Zaznaczam również, że lubię czytać i chętnie przyjmę posty dłuższe niż 3 zdania.

[marcio]

I najtrudniejsze pytanie - sesja stała, czyli cookies. Jak zweryfikować użytkownika? Po czym? IP odpada, gdyż jeżeli user będzie miał zmienne, to opcja "zapamiętaj mnie" będzie na dłuższą metę nic nie warta. Przeglądarka? Ok. Ale to chyba za mało. Może coś jeszcze jest o czym zapomniałem?

unikalne id user'a generowane za pomoca uniqid()

CO do systemu logowania:
sprawdzenie przegladarki
hash hasla normalka
anty brute force itp...itd... czyli ograniczona ilosc prob i bledow
filtrowanie zmiennych w zapytaniach slq
walidacja formularza logowania