دخیل کردن ip کاربر هیچ وقت کار درستی نیست خیلی از کاربرها یا پشت nat هستن یا پشت ip pool و هر دو مسئله باعث میشه چنین سیستمی جواب نده .
رمزنگاری و هش و بقیه چیزها فقط بازی کردن با کد هستش ! این هیچ کمکی به امنیت شما نمیکنه به دو دلیل
هکر یا به جلسه نفوذ کرده ( xss ) یا جلسه رو شنود کرده ( کوکی )
در حالت اول دیگه همه از xss shell استفاده میکنن که دستورات رو مستقیم tunnel میکنه به جلسه کاربر ! یعنی هیچ اهمیتی نداره که چه مکانیزمی برای تفکیک کاربر جعلی و واقعی استفاده شده باشه چون دستورات که میتونن تو یه فایل xml‌روی سرور هکر ذخیره شده باشن مستقیم پمپ میشن به جلسه کاربر . چند تا فریم ورک برای تونل الان وجود داره
در حالت دوم که جلسه شنود شده باشه ساختن user agent جعلی که خیلی ساده هستش بقیه مطالب بین کاربر جعلی و واقعی مشترکه و هیچ راه دفاعی وجود نداره . رمزنگاری هیچ کمک نمیکنه . خیال نکنین در هر مسئله ای اگر چیزی رو رمز کنیم و کلمه هش رو بکار ببریم به نوعی امنیت افزایش پیدا میکنه . وقتی چیزی رو رمز میکنیم که یا هکر در همون جلسه مشارکت داره ( تونل ) یا کل محتویات جلسه حتی کلید رمزنگاری رو داره ( شنود ) دیگه هیچ محافظتی وجود نداره . بعدا اگر وقت کردم دو سه تا روش برای حل این مسائل مینویسم