a parte tutti i giochettini tramite l'uso delle query string o dei cookies ...che mi sembrano errori grossolani nella progettazione, vorrei sapere se i miei dati sono sicuri se:
1. il login (user+psw) avviene con form senza query string, via https
2. una pagina php verifica la presenza nel database di user+psw
3. se c'è scrivo un cookie di 30minuti con l'id di sessione appena creato e scrivo nel record dell'utente: id + ip del computer + data/ora del login
4. ad ogni pagina faccio il controllo: permetto l'uso della pagina solo se nella tabella è presente gli stessi: id + ip criptato + data/ora del login < 30 minuti
non è sicuro così?
Inoltre, ma è proprio necessario e utile criptare i dati del database per proteggerli dai birboni esterni?