[PHP] Prijava uporabnika(forum)

Delam en svoj mini forum, mam skripte za vnašanje/branje postov v bazo že spisane, zataknilo se mi je pri uporabnikih.

Nevem točno kako naj naredim, da bo zadeva prepoznala uporabnika, ko ta odda svoj post. Ena možnost je recimo da v piškot vpišem id uporabnika in ga potem berem, samo tole se mi ne zdi preveč varno. Zanima me kakšen sistem se za to uporablja, da je čimbolj učinkovit in varen.


Hvala za pomoč.

PS. Sem se lotil secirat e107, vendar sem obupal :P

Ja, o tem sem slišal, samo nevem točno kako naj uporabim zadevo. Zamislil sem si nekako takole:

Ob prijavi narediš sejo in piškot, vanj shraniš id seje, v $_session['uporabnik'] pa recimo shraniš id uporabnika, potem pa ob vsaki oddaji posta (ali pa karkoli druzga) preveriš id seje v piškotu in session_id(), podatke ki jih rabiš za post pa prebereš iz $_session. Rajt?

Zdaj me pa še zanima če se splača preverjat tud ip ob vzpostavitvi seje in oddaji posta ali je brezveze?

pa tudi na piškote ni za se 100% zanest, predvsem zato ker ni malo ljudi ki jih imajo sklopljene. Pri meni so piškoti dodatno preverjanje (če obstaja piškot, se preveri, drugače pa ne), session id-je pa ob prijavi shranim v bazo in jih nato ob vsaki operaciji primerjam s trenutnim id-jem.
me pa zanima ali je to dovolj ali je priporočljivo preveriti še kaj?
lp

Ja zdej sm naredu (ok še delam) kar s session + ip, ker sem pogruntal da session prav tako že nastavi piškot, tisto z ipjem imam naštimano tako da lahko 'hitro' izklopim če bodo kakšni problemi.

Shranjevanje session-ov v bazo pride prav, ko na enem serverju gostuje več uporabnikov. Ker se privzeto vsi session-i (od vseh uporanikov, ki gostujejo na strežniku) shranjujejo v isto datoteko, bi lahko kdo dostopal do session-ov, ki pripadajo drugi aplikaciji. Če pa shranjuješ session-e v bazo, pa so le ti dodatno zaščiteni (za dostop do njih rabiš geslo od podatkovne baze).

Lp

Ne razumem. Se ne shranjuje privzeto vsi session-i v isto (/tmp) mapo?