Moin!

Und wenn ein User die Seite nur mit dem besagten Cookie aufruft, ohne gültige Session, könnte ich noch die IP prüfen, ob der User sich schonmal mit dieser IP eingeloggt hat. Wenn ja, kann ich mit dem Cookie eine Session starten und der User ist eingeloggt.

Damit macht Du das kaputt, was Du erreichen willst. Der User hat inzwischen nämlich eine neue IP, weil sein ISP ihm die neue nach 24h verpasst hat. Hint: Das kann auch um 14:23 erfolgen.

Das gehaschte Passwort im Cookie ist so unnötig wie ein Kropf und ist potentiell geeignet, die Sicherheit noch mehr zu beschädigen als es die Langzeitsession so oder so schon tut.

Im übrigen lässt sich die Session-ID ohnehin auch generell in einem Cookie ablegen. Das muss dann eben nicht die Browsersitzung überstehen oder nicht. Dazu den Benutzername und meinetwegen (um das Geheimnis zu vergrößern) den Zeitpunkt des eigentlichen Logins, die bei einer Wiederkehr mit der alten Session verglichen werden.

session_id() liest und setzt eine session_id, der Inhalt von $_SESSION ist ein "named array", kann also dank json_encode / json_decode jederzeit aus der Session gelesen, in einer Textdatei gespeichert und aus einer solchen ausgelesen werden und in der Sessionvariable gespeichert werden. Für das maximale Alter gibt das Dateisystem den Zeitpunkt der letzten Änderung raus, den kann man auch benutzen um überalterte regelmäßig zu löschen. Einfacher geht es kaum.

Dann wäre also nur noch das Cookie mit der session_id zu senden und bei der Wiederkehr zu verwenden.

Jörg Reinholz