PHP problema con i cookie e il logout

[joe73]

Salve a tutti, sono nuovo del forum
ho un piccolo problema con un login in php vi illustro il problema: quando creo la sessione viene salvato un cookie con la $PHPSESSID e se faccio il logout mi distrugge la sessione, ok, fin qui va tutto secondo i piani, ora.... se modifico il cookie quando SONO LOGGATO non ho piu l'accesso alle pagine protette (ma dai?!?), ma se RIMODIFICO il cookie rimettendo la stessa $PHPSESSID mi fa accedere di nuovo... voglio eliminare questo problema, potrebbe accadere che un utente riceva l'id di un altra sessione e acceda con le credenziali di un altro utente combinando un casino... lo so, la probabilità è davvero bassa, ma sono pignolo sulla sicurezza perciò ho provato a fare così: se l'utente riesce a visualizzare la pagina di login anche se ha una sessione aperta, viene distrutta la sessione... il problema è che non mi distrugge questa cavolo di sessione

[eiyen]

ma usi il cookie per il controllo di login? non puoi usare le sessioni e lasciar fare al php? perchè devi registrare l'id di sessione?

[joe73]

non setto manualmente il cookie, lo lascio fare alla sessione... il problema è che quando avvio la sessione e modifico manualmente il cookie dell'id mi fa disconnettere (ovviamente), ma se ripristino l'id nel cookie scopro che la sessione è ancora aperta e mi fa rientrare, invece voglio che la sessione venga distrutta se l'id nel cookie è modificato...

[k.b]

Originariamente inviato da joe73
non setto manualmente il cookie, lo lascio fare alla sessione... il problema è che quando avvio la sessione e modifico manualmente il cookie dell'id mi fa disconnettere (ovviamente), ma se ripristino l'id nel cookie scopro che la sessione è ancora aperta e mi fa rientrare, invece voglio che la sessione venga distrutta se l'id nel cookie è modificato...

Non puoi, se modifichi l'id come fai a sapere qual e' la sessione da eliminare?

[joe73]

allora non c'è via d'uscita? :/ alla creazione di una nuova sessione viene controllato se l'id è gia usato per un altra sessione?

[k.b]

Originariamente inviato da joe73
allora non c'è via d'uscita? :/ alla creazione di una nuova sessione viene controllato se l'id è gia usato per un altra sessione?

Ovviamente, sarebbe un sistema completamente idiota se gli id venissero riassegnati a qualcun altro cosi' tanto per fare.