ajax + bezpieczenstwo skryptu Opcje

[Sequan]

Witam

Zastanawiam się właśnie nad bezpieczeństwem jednego z rozwiązań jakie chcę wdrożyć na stronie, mianowicie chodzi o wywołania ajax'em. Sprawa jest taka, użytkownik po zalogowaniu się do swojego profilu powinien mieć na bieżąco aktualizowany box z wiadomościami do niego wysłanymi. Oczywiście wiadomości nie powinny być dostępne ani widoczne dla nikogo innego.
Rozwiązanie jakie wymyśliłem to coś takiego:
1) użytkownik po zalogowaniu dostaje jakiś hash na przykład całkiem przypadkowy z jego loginu i losowej liczby
2) hash ten zapisywany jest wraz z numerem IP komputera i datą zalogowania z którego się zalogował w jakieś bazce
3) odświeżenie okienka jego wiadomości wywoływane jest przez ajaxa pobierając GETem strone o adresie np. wiadomosci.php?recent=1212133&hash=[tutaj jego hash z pkt 2]
4) serwer sprawdza czy hash sie zgadza, czy IP jest ok i jeśli tak odpowiada kawałkiem htmla z wiadomościami.

Zauważyłem że na przykład nasza klasa robi dość podobnie...
Pytanie moje - czy takie rozwiązanie jest bezpieczne i wydajne, a może robi się to zupełnie inaczej ? Poradzcie

Pozdrawiam
Sequan

[Quantum]

Ajax'em pobierasz wiadomosci.php, w tym pliku sprawdzasz czy user jest zalogowany, jeśli tak to pobierasz jego id i przypisane do niego wiadomości. Za sprawdzanie IP itp. odpowiada session handler.

Ten post edytował sniffer32 31.10.2009, 10:38:58