[JavaScript][MySQL][PHP]Zabezpieczenia Opcje

[Evinek]

Witam.
Szukam, czytam, myślę, ale nie mam odpowiedzi na wszystko.

Umiem już w miarę zabezpieczać zapytania i takie tam, ale mam problem z sesjami.

Nie mam zielonego pojęcia jak zabezpieczać sesje aby nikt nie mógł się włamać na czyjeś konto poprzez zmianę sesji.

Jak będę trzymał same ID użytkownika to wystarczy zmiana na ID na przykład 1 i jestem na innym koncie.

Kombinowałem coś w stylu takim:
- priv_key w bazie mysql (8 znaków czy coś)
- w sesji zapisane takie dane: sha1($priv_key.$ip.$przegladarka.md5($id_user));
- przy logowaniu tworzone nowy priv_key
- przy odświeżaniu zawsze sprawdzam sesje (te hashowanie) czy jest równe aktualnemu hashowaniu (poprawność ip, przeglądarki itp.).
Tylko nie wiem czy ten pomysł jest dobry.
Jakie propozycje?

I jak na przykład jest zabezpieczone IP Board? coś w tym stylu?

Pozdrawiam Paweł

@EDIT:

Czy przy pomocy AJAX'u dokładnie ten sam hash wysyłać czy lepiej dorobić drugi który będzie zapisany w Javascript specjalny do AJAX'u?

Ten post edytował Evinek 10.02.2012, 21:26:19