Hi,

ich habe ein datenbankgestürtztes Login-System, bei dem ich nach erfolgtem Login je Seitenaufruf prüfe, ob sich die Session_id geändert hat und eine bestimmte Inaktivitätszeit nicht überschritten ist.

Ist es sinnvoll, auch noch zu prüfen, ob sich die IP geändert hat oder ist das sicherheitsmäßig kein weiterer Vorteil?

Das waere durchaus ein Vortel, wenn es nicht User gebe, deren IP sich dauernd aendert. Da das die Schuld des Providers ist, und die User nicht viel dagegen tun koennen, sollte man die IP nicht fuer solche Dinge benutzen.

Den Referer kannst Du pruefen. Aber dir bewusst sein, dass man den durchaus faelschen kann, oder die Uebermittlung abstellen. Letzteres hab ich gemacht und es gibt jetzt Foren, in denen ich nicht posten kann. Wenn es also deren Absicht war, mich nicht an ihrern Communities teilnehmen zu lassen, haben sie das effizient geschafft. Da es sich hierbei aber gewoehnlich um Userentscheidungen handelt, koennte man diese Art der Ueberpruefung nehmen. Denn da kann der User sich auch entscheiden, was er lieber moechte. Deine Seite nicht nutzen oder seinen Browser umkonfigurieren. Musst Du wissen, ob Du deine User vor so eine entweder oder Entscheidung stellen willst.