Sesja w bazie danych, Przydzielanie SID poprzez IP. Opcje

[poison.Pluto]

Witam.

Napisałem sobie taki skrypt, w którym sesje przechowywana są w bazie danych. Chcę aby każdy kto nie ma włączonego przyjmowania cookies mógł się zalogować, ale trzymanie SID w adresie za bardzo mi nie odpowiada. Czy dobrym pomysłem jest przydzielanie SID według adresu IP?

Wygląda to mniej więcej tak:

1. rozpoczynamy sesję, w bazie danych dodawany jest ip klienta i SID oraz czas ostatniej aktywności

2. gdy klient przykładowo przechodzi na 2 podstronę to wykonywane jest zapytanie, które sprawdza czy zostało już użyte to IP. Jeżeli tak to pobiera SID i jest ono przypisywane jako obecne. Jeżeli nie -> punkt 1.

Oczywiście sesja po 5 minutach braku aktywności klienta jest usuwana z bazy danych.

Sposób ten chyba jedynie może się nie sprawdzić gdy w jednej sieci lokalnej kilku użytkowników ma przeglądarki, które nie akceptują ciastek.

Czy to dobra metoda - czy może jest jakaś lepsza?

[legorek]

To zły pomysł, bo ludzie są w sieciach. Wyobraź sobie, że logujesz kogoś i do jego tajnych danych ma dostę 500 innych osób z jego sieci.

[poison.Pluto]

Albo może zebrać troche danych o użytkowniku i zrobić z tego hash? Prawdopodobieństwo mniejsze a innej metody poza SIDem w url albo cookie chyba nie ma :/

[tara]

Też myśle że to zły pomysł. Walnij ciasteczka, jak ktoś ma wyłączone cookies to nie wchodzi na strone i po sprawie. Albo wyeliminuj logowanie

[dtb]

przekazuj sid metodą get pomiędzy stronami