Ich würde vl die Datenbank mit einbeziehen (so machs ich). So wird via Datenbank überprüft, dass nur 1 aktive Cookie-Session pro PC existiert, desweiteren benutze ich einen md5 hash als Cookie-Namen und einen anderen als Inhalt. Das ganze wird dan auch in der Datenbank gespeichert und überprüft. Damit einer ne fremde Session erhalten kann muss er:
1. Meine 2 verschiedenen Logariten für Cookienamen usw. herrausfinden (Was nicht einfach ist, da ich die Zeit der aktivierung der Session mit einbeziehe
2. Über PC des Besitzers einloggen
alternativ:
Datenbank hacken...
|