Ребят, подскажите, если при авторизации записывать в таблицу все сразу
SID, IP, USER_AGENT, USER_ID
и в нужных страницах сверять по всем 4-м полям и пропускать, это надежная защита? В сессиях храним только SID. Больше ничего не передаем серверу.
Куки вообще не используются.
Это реально сломать, этого достаточно от 99% злодеев?

_____________
..Работает - не трогай!

maximka787, по вашему этот "муравейник" должен напугать злодеев, по типу психологической атаки (пьяный матрос в тельняшке на зебре)
___
тут еще по мимо того, что сверять надо знать как и когда сверять
речь о безопасности можно вести относительно кода или хотябы раписанного алгоритма


_____________
Стимулятор ~yoomoney - 41001303250491

Valick
Зачем кого-то пугать?)) Все эти данные в md5 заделал и сверяй сколько хочешь. Разве это можно обойти? Быстро и просто. Но вот надежно ли...

_____________
..Работает - не трогай!

Игорь_Vasinsky, вы думаете в "букваре" рядом с md5() нет md5(md5()), sha1() и других вариаций "на тему"?

_____________
Стимулятор ~yoomoney - 41001303250491

Игорь_Vasinsky
а если подрезать md5 на пару символов?

_____________
..Работает - не трогай!

Игорь_Vasinsky
А вопрос такой, можно ли генерировать соль? я читаю сейчас про crypt() по моему неплохая вещь, для создания соли. во всяком случае не будет видно в БД её.

_____________
..Работает - не трогай!

maximka787
Зачем это нужно?
Если боитесь что подберут SID, то используйте sha2-512
Если боитесь что украдут куки - используйте http-only против xss и\или https от mim

А по реализации - USER_AGENT бесполезен, тк любой может его подменить.

_____________
VPS от 5$, первые 2 месяца - бесплатно.