Альтернативное session

Вот даже не знаю, как обхяснить и поймут ли меня, но все же попытаюсь..

Как я понимаю, большая часть пользователей PHP для аутентификации
пользователей пользуются стандартными встроенными в PHP методами..

Я реализовал несколько иную систему:

1. человек ввел в поля формы на странице login.html имя пользователя и
пароль, нажал на SUBMIT "войти", все данныне передаются в auth.php.
В auth.php эти данные проверяются на наличие и валидность,
т.е проверяется, были ли переданы эти перемнные, какова их длина и т.д.
Далее запросами проверяюю есть ли такой пользователь с таким паролем.
Если есть, завожу перемнную $Session=md5(uniqid(microtime())) и записываю
в базу данных с сесиями, что такой-то пользователь с вот эти session пребывает
в системе.

Далее пользователь проходит в систему со строкой "&User=ID_юзера&Session=длинная строка символов",
эта строка передается везде с ним, пока он гуляет по системе..
(притом это грамотно реализовано, т.е. не может быть такой ситуации, что
пользователь нажмет что-нибудь не то и его выкинет).

В каждом углу (логически) натыкана функция, которая проверяет наличие такого
пользователя с таким session в системе. Если его нет - выкидывает,
если есть - работа продолжается.

выскажите свое мнение, пожалуйста..
Особенно с точки зрения защиты

Зачем ты изобрел велосипед? Стандартный механизм сессий легко замещается вызовом функции session_set_save_handler().

Тут стоит почитать:
PHP Inside #4
Наша Лаборатория, пост #8
Извлекаем чужие сессии в PHP

О секурности твоего кода, не зная деталей, сказать не могу.

Код однозначно секурный или таковым не является. Но однозначно что-то есть.
Секурентность кода определяется его способностью противостоять неправовым запланированным или внешним спонтанным воздействиям, а код секурентен, т.к. как бы на него не воздействовали, всё одно его нет, знать и он воздействовать не на что не сможет. Другое дело, когда мы станем считать, что вымышленные вещи реальны, но, думаю, до такого состояния жить ещё лет шестьдесят или более.

Mastilior, а код всё же секурентней велосипеда. Каррамба, вот.

Сообщение отредактировано: Tishaishii - 11.09.04, 17:12

Насчет велосипеда это еще или уже не вопрос, а насчет мд5 и микротайма - по моему ерундень.
если мне не изменяет память, я в старой-престарой книге по пхп3 такой метод видел - потому что в пхп3 сессии были то ли кривыми то ли их вообще не было.

p.s. Кроме того session_set_save_handler - весьма и весьма удобная штука! Автору топика надо мануал почитать, однозначно, он поймет красоту реализации и прочую дезинтеграцию вследствие юзания всяких лесиков.

Сообщение отредактировано: e1f - 15.09.04, 17:35

Цитата

e1f, 15.09.04, 20:32
потому что в пхп3 сессии были то ли кривыми то ли их вообще не было

Их там небыло