Witam.
Szukam, czytam, myślę, ale nie mam odpowiedzi na wszystko.

Umiem już w miarę zabezpieczać zapytania i takie tam, ale mam problem z sesjami.

Nie mam zielonego pojęcia jak zabezpieczać sesje aby nikt nie mógł się włamać na czyjeś konto poprzez zmianę sesji.

Jak będę trzymał same ID użytkownika to wystarczy zmiana na ID na przykład 1 i jestem na innym koncie.

Kombinowałem coś w stylu takim:
- priv_key w bazie mysql (8 znaków czy coś)
- w sesji zapisane takie dane: sha1($priv_key.$ip.$przegladarka.md5($id_user));
- przy logowaniu tworzone nowy priv_key
- przy odświeżaniu zawsze sprawdzam sesje (te hashowanie) czy jest równe aktualnemu hashowaniu (poprawność ip, przeglądarki itp.).
Tylko nie wiem czy ten pomysł jest dobry.
Jakie propozycje?

I jak na przykład jest zabezpieczone IP Board? coś w tym stylu?

Pozdrawiam Paweł

@EDIT:

Czy przy pomocy AJAX'u dokładnie ten sam hash wysyłać czy lepiej dorobić drugi który będzie zapisany w Javascript specjalny do AJAX'u?

może słabo się znam, ale wydaje mi się, że sam mechanizm sesji w php nie jest dość niebezpieczny. możesz co najwyżej dodać sprawdzanie IP przez skrypt na podstawie bazy, porównując, czy ktoś nie zalogował się 2 razy z różnych IP w tym samym czasie.

ale to tylko moja opinia...

A takie pytanie - niby jak to ID można zmienić? Jak ta sesja działa dokładnie? Gdy użyję

[PHP] pobierz, plaintext 
session_start();
$_SESSION['ID_USER'] = $jakiesID;
[PHP] pobierz, plaintext 

To co jest przechowywane po stronie przeglądarki, co na serwerze?

z tego, co wiem, od strony przeglądarki jest przechowywane tylko id sesji.
reszta danych jest po stronie serwera.