hallo,
ich brauche eine session, die 60min, bei inaktivem usern bestehen bleibt, jedoch kann ich die php.ini nicht ändern und auch scriptseitig kann ich parameter irgendwie nicht ändern...
sprich die werte der session-variblen verschwinden nach 24min...

daher hab ich folgendes gemacht, aber weiß nicht 100%ig ob das sicher ist:

(etwas vereinfacht)
--------------------------------------------------------------------
beim erfolgreichen login werden IP, session_id,logged_in=1.. in db gespeichert

bei JEDEM seitenrequest werden aktuelle IP, aktuelle session_id und logged_in=1 verglichen mit einträgen in der tabelle.

wenn eintrag vorhanden und inaktive zeit < 60min -> user eingeloggt, session variablen registrieren

wenn nicht -> user nicht eingeloggt / session abgelaufen / sonstige fehler
--------------------------------------------------------------------

klappt wunderbar!

mir erscheint das recht sicher, da die session id doch eindeutig ist (dazu noch die verbindung mit der ip)?! oder kann es doppelte sessionids geben, bzw andere möglichkeiten das zu faken (wegen der IPs: proxies sind klar)?

thx
rob