Форум PHP

У меня такая проблема:
Самый удобный вариант авторизации?
На сессиях или на кукисах?
Сессии не удобны тем, что в строке адреса её видно пример: Пользователь передаст ссылку типа www.site.ru/profile.php?PHPSESSID=b37b5e4c0fef6e6b6c861ed6f138ba03
и у него можо украсть сессию. Кукисы тоже можно стырить. Так что делать?

и сессии и куки. от хакеров проверять ип адрес, броузер, версию ос. тогда проблема кражи сессии отпадет на 99%. а тот 1 процент останется на крутые сайты с большими деньгами.
если человеку надо сохранится на сайте (автовход) ставить куку и юзать сессию. если не надо сохранятся, то только сессию.

А не мог бы рассказать подробнее про сессии и куки при автовходе

юзер логнится и ставит чекбокс "Запомнить". ставится кука до 2222 года (чтоб на долго). запускается сессия и про куку забывается. все берется из сессий.
когда юзер приходит в следующий раз - проверяется кука, из нее берется логин, пасс. если все ок - session_start() , и про куку опять забываем на время.
если юзер не ставит чекбокс запомнить - кука не ставится, а стартуется сессия, которая после ухода юзера сама умирает

Большое спасибо!

http://www.softtime.ru/info/articlephp.php?id_article=36

А через какое время удаляется неактивная сессия?

session.gc_maxlifetime - минимальное время хранения сесии на сервере (php.ini)
вроде бы

session.gc_maxlifetime = 1440, И что это означает? Варемя в секундах? А как можно его меньшить ло минимума с помощью PHP?

кажись его можно задавать только на сервере администратору

Нет, эти настройки находятся в руках администратора и только они могут изменять их сразу для всех пользователей хоста.