System sesji - czy mój kod jest optymalny? Opcje

[klapaucius]

Witam. Oto mój kod związany z systemem sesji ma na mojej stronie. Chodzi tu o przechowywanie zmiennej z identyfikatorem użytkownika oraz czasem, po którym sesja wygasa:

[PHP] pobierz, plaintext 
session_start();
 
if (!isset($_SESSION['inicjuj'])){ // 1 zabezpieczenia sesji
    session_regenerate_id();
    $_SESSION['inicjuj'] = true;
    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
}
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']){ // 2 zabezpieczenie sesji
    header("Location: ../index.php?page=glowna");     
}
 
$intTimeoutSeconds = 600; // ustawienie czasu sesji
 
if (!isset($_SESSION['zalogowany'])) { // jeśli zmienna nie jest zarejestrowana
    $_SESSION['zalogowany'] = 0;       // przypisz jej początkową wartość
}elseif(($_SESSION['intLastRefreshTime']+$intTimeoutSeconds)<time()){
        session_destroy();
        if($_SERVER['PHP_SELF'] != '/index.php'){
          header("Location: ../index.php?page=glowna&sesja_wygasla=tak");
        }else{
          header("Location: ../index.php?page=glowna");
        }
}
 
$_SESSION['intLastRefreshTime'] = time();
 
if($_SESSION['zalogowany'] == 0 && $_SERVER['PHP_SELF'] == "/game/index.php"){ // jesli uzytkownik nie jest zalogowany
  header("Location: ../index.php?page=glowna");
}elseif($_SESSION['zalogowany'] != 0 && $_SERVER['PHP_SELF'] == "/index.php"){ // podobnie jak wyzej
  header("Location: game/index.php?page=main");
}
[PHP] pobierz, plaintext 

Czy kod jest w miarę optymalny? Czy coś w nim trzeba zmienic? Jak narazie działa ale wydaje mi się ze jest trochę za długi i że ma jakieś błędy... Czy mam rację? Czy można go jakoś bardziej zoptymalizować czy jest ok?

[darko]

Ogólnie straszna sieka w kodzie, a jak ktoś pisze, że $_SERVER['REMOTE_ADDR'] jest jakimkolwiek zabezpieczeniem, to... zostawię to bez komentarza. Nie ma tu czego oceniać, gdyż skrypt w ogóle nie jest napisany w taki sposób, aby można byłoby się nim podzielić (brak jakiejkolwiek parametryzacji czy możliwości "zcustomizowania").

[klapaucius]

jak ktoś pisze, że $_SERVER['REMOTE_ADDR'] jest jakimkolwiek zabezpieczeniem, to... zostawię to bez komentarza.

Czyli że można to wywalić?

P.S.

Nie piszę wcale tego kodu, aby się z kimś dzielić ale do moich indywidualnych potrzeb pod stronę. Zdaję sobie sprawę, że nie jest on zbyt "optymalny" jeśli można to tak nazwać.. Ale właśnie dlatego napisałem ten temat żebyście mi doradzili co tam można by zmienić czy coś...

Ten post edytował klapaucius 6.10.2011, 15:08:28