DIGO ESTO POR Q EN MI TESIS DE GRADO CONECTE VARIAS MAQUINAS AL MISMO TIEMPO Y SI ENTRABAS DE VARIAS MAQUINAS CON LA MISMA SESION ENTRABAN LA FORMA DE SOLUCIONARLO FUE EN LA BD DARLE UN STATUS Q CUANDO ESTUVIESE CONECTADO ESE USUARIO MAS NADIE PUDIERA ENTRAR CON ESA CLAVE Y USUARIO LUEGO TUVE Q ADERIRLE ONBEFOREUNLOAD DE JAVASCRIPT PARA Q NADIE ME CERRARA EL NAVEGADOR SIN LEER EL MENSAJE

No se puede culpar a PHP de que una apliacacion sea insegura. La seguridad de una plaicación debe ser establecida por el programador.

algo se te esta escapando en ese script, y de que se puede hacerse mas seguro se puede la cosa es ir averiguando que esta mal... como dice ashrey el problemas no es php sino el programador...

Buenas dias, reitero el error no es de php si no del algoritmo de seguridad de tu aplicacion y para todo algoritmo siempre existira la fuerza bruta.

GuruAjax estas equivocado..

El problema tu forma de validación y el usuario que se conecta de todas partes con tu sistema.

Consejo, nunca uses javascript para cuestiones de seguridad...

llama a <?php 
session_set_cookie_params (0);
?> antes del session_start, el cero indica que se termine la sessión al cerrar el navegador, si le pasas otro numero s toma como los segundos de duración de la sesión

ey me pasa otra cosa
se me ocurre que para que un usuario no pueda abrir otra sesion , si ya ha ingresado en el sistema, grabar un registro en la base de datos y borrarlo cuando se salga
pero esto podra funcionar siempre y cuando haga click en el boton de salir y no cierre el navegador
alguna sugerencia???

Si no lo envias, toma el tiempo que este configurado en el php.ini.

Con la otra pegunta creo que lo mas facil es "patear" al otro usuario, es decir que si me conecto desde un sitio, ya la sesión del anterior no sea válida.

La solucion de ashrey es la mas tipica, de hecho yo la uso :-P y la hago estableciendo un id de session en la bd cada vez ke logueo, mi pagina en cada chekeo verifica ke aparte ke el user tenga las credenciales la variable de session a la cual le asigne ese id sea igual a la de guarde en la bd al momento de loguear, cuando ese mismo user reloguea en otro sitio la session del ke ya estaba logueado invalida esa session anterior ya ke en bd ese usuario tendra otro id para su session, lo ke hace es ke solo se puede mantener una sola sesion con un login asi evitas que se riegue los datos por ejemplo de una suscripcion :-P,

------

lo de verificar si ya estaba iniciada la session de un user no permitir ke uno nuevo loguee con ese mismo login, se me ocurre crear un hearthbeat entre el user y la session ke haga chekeos cada cierto tiempo para mantener valida la sesion.

Ej
crear una tabla con las sessiones activas cuando ingreses un registro de session guardas la fecha y hora en la ke el user se ha logueado luego al ingresar al sistema como tal se crea un rutina (hearthbeat) en ajax ke cada x segundos actualize el registro en esa tabla de sessiones activas con la fecha y hora en el momento ke el hearthbeat se mande


Luego creas una rutina en php y la llamas desde cron

ke cada x segundos verifike si la session tiene mas de x tiempo sin actualizarse (interpretamos ke el user se largo) y borramos el registro


Obviamente si ya hay un registro valido en esa tabla, ese mismo user no deberia poder loguearse simultaneamente.


Suena a locura y es aparatoso,,, jejje pero no esta demas hacer lap rueba a ver de ke va el asunto.