Hallo forum!

Ich habe da mal eine Frage bezüglich Sessions in PHP, die bei mir mittels Cookies und NICHT über einen zusätzlichen get-Parameter realisiert werden sollen. Mir stellt sich jetzt jedoch die Frage, wie ich das ganze möglichst sicher gestalte. Bisher habe ich das immer so gehandhabt, das wenn die authorisierung erfolgreihc war, ein session gestartet wurde und die Variable $_SESSION['login'] auf true gesetzt wurde.

Was haltet ihr nun vor der Möglichkeit stattdessen, in einer existierenden Usertabelle noch zusätzlich die Felder 'lastLogin' und 'code' hinzuzufügen, wobei bei erfolgreicher anmeldung, in $_SESSION['code'] und das TabellenFeld mittels uniqid ein code reingeschrieben wird. Wenn diese dann nicht zusammenstimmen, muss man sich eben neu authentifizieren. In lastlogin kommen eben die zeit des letzten Aufrufs und diese wiederum mehr als eine Stunde, etc. zurückliegt, fliegt der User ebenfalls raus.

Was haltet ihr von dieser Geschichte oder gibt es noch etwas besseres, um das so sicher wie möglich zu handhaben.

Danke schonmal, waterloo