[PHP] Zabezpieczenie sesji

0

Witam.

Mam skrypt sesji wyglądający ogólnie tak:

<?
session_start();

    if (!isset($_SESSION['RESET']))
    {
        session_regenerate_id();
        $_SESSION['RESET'] = true;
        $_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];
    }

    if($_SESSION['IP'] !== $_SERVER['REMOTE_ADDR'])
    {
        // nowa sesja
    }
?>

Jest to oczywiście tylko fragment kodu. Skrypt ma zabezpieczyć przez 'podkradaniem' PHPSESSID porównując m.in. IP. Nie wiem jak rozpocząć nową sesję nie niszcząc aktualnej (za jej żywotność odpowiada inny skrypt).

Jeśli dobrze pojąłem zagadnienie sesji to ma to chronić przed sytuacją gdy użytkownik A zaloguje sie do serwisu i prześle użytkownikowi B link do strony z doklejonym PHPSESSID (ex. http://mojastrona/index.php?cos=tam&PHPSESSID=asdasdasd). Użytkownik B klikając w link dostanie się do sesji użytkownika A, tak?

pozdrawiam

0
<?
$hash = md5("alamakota");
session_start();

        if ($_SESSION['RESET'] == $hash)
        {
                session_regenerate_id();
                $_SESSION['RESET'] = $hash;
                $_SESSION['IP'] = md5($_SERVER['REMOTE_ADDR']).$hash;
        }

        if($_SESSION['IP'] !== md5($_SERVER['REMOTE_ADDR']).$hash)
        {
                // nowa sesja
        }
?>

Ja cos takiego uzywam... mniej wiecej :P

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0