Aynı domain altında iki farklı klasörde falan denerseniz, çakışma yine olur. Sonuçta aynı sunucu ve domain içerisinde çalışacak yine. Bu şekilde sonuca varmak biraz sıkıntılı olabilir. @yakoSin hocamın dediği gibi session path'leri tanımlayabilirsin belki bu şekilde bir önlem alınmış olur. Ki zaten iki farklı domain falan olsa, aynı sunucuda olsalar bile, böyle bir çakışma sorunu yaşamazsınız. Bu sadece aynı domain içerisinde olduğu için oluyor. Local mantığı gibi.
Orda biraz paranoya var gibi geldi bana. Ben kendi kullandığım yapıyı anlatayım.
Formdan doldurulan değerler veritabanında varsa, 4 session oluştur.
kullanici_id , giris , username , pass(şifrelenmiş hali)
Her sayfada sessionlardan bu değerleri alır, bu bilgilerle bir üye kaydı olup olmadığına bakarım. Sistem üzerinden şifre değiştiğinde de, otomatik olarak login'e atıyor haliyle, ki olması gerekende bu bence.
Benim sistemde, session'a müdahele edilse bile kullanıcının şifresinin şifrelenmiş halini bilmesi lazım ki sisteme girebilsin. Verdiğin linkteki yapıda da benzer işi üretilen kod yapıyor.
Ayrıca ordaki sistem botlara engel koymuyor sadece limitlendiriyor. 2sn'de bir işleme izin veriyor.
Söylediklerinize ek olarak hocam,
Kullanıcının şifresinin şifrelenmiş halini direkt olarak session'da tutmak ne kadar güvenli olur bilmiyorum, çünkü bu konuda baya tereddütlerim vardı. Bende bu tarz bir yöntem kullanıyorum ama tek farkı şifrelediğim kullanıcı şifresinin içerisine farklı karakterler de ekliyorum ve bunu okurken bu karakterleri parse ediyorum. böylece biraz daha önlemi katlamış oluyoruz galiba. Katlamıyosak da, canımız sağolsun
