Şu anda, benim kimlik şuna benzer:

SSL üzerinden giriniz:

• PHP veritabanına karşı kullanıcı adı / şifre denetler.
• Eğer uyarsa, oturum çerezi, oluşturulan gönderilen ve Db saklanır
• (Bir oturum çerezi kullanıcı kimliği gibi görünüyor: IP: random_characters: zaman damgası)

SSL üzerinden eylemi gerçekleştir:

• PHP kontrolleri oturum veritabanı karşı çerez.
• Oturum eşleşirse, bir saat eski altında ve kullanıcı kimliği ve IP geçerli kabul edilir eşleşir.
• Oturum geçerli ise eylem yapılır ve yeni bir oturum tanımlama oluşturulur.
• (Eylem bir çıkış varsa, oturum tanımlama süresi dolmuş bir süre ile ayarlanır)

Bir çerez kaçırıldı ve IP kurbanların önceki eylemin bir saat içinde sahte ise, saldırganın doğrulanmış olacak ve yeni bir oturum oluşturulur. Ben bakan değilim diğer olası sorunlar var mı?

Ne iyi uygulamalar olarak kabul edilir? Ben güvenliğini sıkmak istiyorum. Teşekkürler!