[php] session managment [OT]

[Thomas Heller]

Moin Moin!

Ich arbeite gerade an einer Variante Usern zu ermöglichen sich einzuloggen
und diesen dann andere Inhalte anzuzeigen als denen die nicht eingeloggt
sind. Ich mache das im Moment mit Hilfe einer mysql Tabelle und ner
SessionID .. Die Session endet automatisch wenn ein Benutzer 10min nichts
macht ... ansonsten wird diese immer geupdatet ... Mein Problem ist
allerdings, daß ich damit keinerlei Erfahrungen habe. Vom Programmieraspekt
sehe ich da keinerlei Probleme (das krieg ich schon hin :) ich habe bloß
keinerlei Ahnung wie sich dies in Sachen Sicherheit und etc. auswirkt.

Hat hier jemand schon Erfahrungen damit?
Wie übergebe ich die SessionID? Per Query? Per Cookie?

Das einzige was ich derzeit als richtige Sicherheitslücke sehe ist, wenn es
jemand schafft die SessionID rauszubekommen bevor die 10min vorbei sind,
kann er alles mit dem fremden Account machen ... Die Chance diese SessionID
zu raten ist zwar relativ gering (md5(uniqid(random()));) dennoch ist es
möglich ... mir fehlt halt nur die Erfahrung damit ... =)

Danke, mfg
Thomas