Допустим, что пользователь авторизовался, получил доступ, а потом по непонятным причинам закрыл или был вынужден закрыть окно браузера. Но сессия была уже создана, и файл с переменными лежит в темпах, он не удалился.
Теперь хаккер-экстрасенс угадывает код сессии(возможно он его подглядел) и вводит его в адресной строке и получает доступ к запретной области. Как можно удалить файл в тмр или может есть какой другой способ избежать этой проблемы?
Спасибо!!!

если хакер экстрасенс угадает номер сессии, пользователю не обязательно закрывать окно браузера =)))
не заморачивайся так сильно...
я думаю довольно сложно увидив один раз запомнить 32 значную строку

Допустим я вошел и занес страницу в избранное, где этот код и запомнился, а в тмр файл не удалился(сбойный вариант). Потом на мой же компьютер приходит кто-то еще, открывает браузер, открывает избранное и видит тот адрес, нажимает на него и заходит на запретную зону!!! Конечно можно сказать: что тот немного болен и это его вина. Но по моему это еще проблема и программиста. То есть было бы неплохо сделать так!!!

не волнуйся... сессия удалиться довольно скоро...
не будет такого, что она на долго там зависнет =)
ты высосал проблему из пальца...
решай более правильный проблемы....
с таким подходом, ты один скрипт будешь создавать веками... =)

Можно поступить след образом. В таблице паролей хранить ещё и ИД сессии, который переписывать при каждой авторизации. В каждый файл включать проверку, соответствует ли ИД текущей сессии, записанному в базе. Идея понятно, или надо исходник?

А разве это будет не то же самое, что делает сессия. Ведь сессия сохраняет ID сессии в темпах и каждый раз проверяет его наличие. Твой вариант то же самое, но с другой стороны. Просто повторяешь дейсвия сессии.
Разве я не прав?

Можно в сессии хранить айпи, браузер, ОС, имя машины клиента итд. и если хоть один параметр несовпадает трубить тревогу...
Но это смело можно будет назвать началом паранои ))

А помоему, ничего паранойного :)
Я частенько когда захожу на этот форум, у меня появляется Logged on as <имя юзера, но не мое>

Оригинал написал(а) Быдло
А помоему, ничего паранойного :)
Я частенько когда захожу на этот форум, у меня появляется Logged on as <имя юзера, но не мое>
в этом не форум виноват... а кое что другое =)

Я конечно не танк в ПХП, но помоему тут столько юзеров сиддит, что я попадаю в чью то сессию.. или не так? Тогда объясните: )