Доброго времени суток.
Пилю для себя небольшой велосипед. Вот решил поиграть с сессиями. Наткнулся на такую функцию session_regenerate_id(). Как она работает по документации мне все вроде понятно. Но вот интересует её реальная польза, вернее её наличие вообще.
Правильно ли я понимаю, что если говорить о краже куков, то в принципе функция бесполезна и более менее серьезный вирус обновит сессию на стороне клиента и получит самый новый ID который моментально установится в браузер злоумышленника (ну в теории)? И если нет проверки ip то толку от этой функции мало.
К тому же при большой загрузке, постоянное обращение к файлам сессий, даст дополнительную нагрузку на фс хостера. Про memcache знаю, но речь именно о шаред хостингах.
Значит ли что использование временных токенов в куках и проверка пользователя на ip может заменить данную функцию? Если да, то как правильнее делать проверку ip? Тупо хранить в сессии $_SERVER['REMOTE_ADDR'] и периодически его сверять?
Гуру, разъясните пожалуйста. Я как бы не параноик и могу обойтись, но вот понять суть применения бы.
Спасибо.
