a un usuario mio le robaron el cookie, entonces...

estoy tratando de hacer un codigo seguro para las cookies, osea el codigo de la cookie que sean el Id + el Pass + palabrasecreta y el IP.. todo concatenado y luego a ese resultado lo encripto con un codigo que creee y me genera un codigo encriptado que despues cuando va a loguear compara con los datos de la base de datos...

ej: ?Id=342&Cod=a4309sdfjlk234j50s9d7n5l2sd098

$datos=encripta($id,$pass,$IP);

if($datos == $_GET['Cod']){
echo "OK";
}else{
echo "ERROR";
}

puse GET para que se entienda mejor, pero en realidad la variable es cookie...

osea busca en la bd el id 342 luego extrae los datos que necesita y los somete al proceso de encriptado y compara que el codigo generado sea el mismo de la cookie...

supon que un usuario te roba el cookie? en caso de no tener en cuenta el IP puede iniciar sesion con esa cookie, pero si en el proceso de encriptado tiene en cuenta el IP no...

es correcto eso? que problemas podria tener?


y otra pregunta... como lo hiso? estube intentando reproducir la tecnica para tratar de auto-hackear mi sistema y asi ir implementando seguridades a medida que le encuentro fallas, pero hasta ahora sin exito...

supon que robe la cookie de un usuario.. ahora como hago para iniciar sesion con la cuenta del usuario el cual tengo la cookie...?