Va bene rigenerare l'id, ma solitamente si fa a login/logout o quando cambiano i permessi dell'utente loggato (se gli cambi il livello di autorizzazione o se l'utente modifica i suoi dati personali). In generale tra login e logout ti conviene mantenere lo stesso id di sessione.
Alla fine ho realizzato il metodo che mi hai consigliato, ovvero salvare nel database l'id della sessione al momento del login e fare un controllo se ad ogni azione corrisponde l'id.Originariamente inviata da M4V1
Ma quindi un modo per sapere se un utente si collega da una postazione diversa non esiste?
Cookie!
Permessi di invio
Rispondi quotando