Есть несколько правил, которым необходимо следовать, чтобы повысить безопасность работы с сесиями:
Используйте SSL, когда авторизованные пользователи выполняют важные операции.
Обновляйте id сессии, когда уровень безопасности меняется (например, пользователь входит). Вы можете даже обновлять id сессии каждый запрос, если хотите.
Задавайте время жизни сессии.
Не используйте Register_Globals.
Храните данные аутентификации на сервере. То есть, не отправляйте подробностей, таких как имя пользователя, в cookie.
Проверяйте $_SERVER[»HTTP_USER_AGENT»]. Это немного понизит вероятность взлома сессии. Можете даже сохранять IP-адреса.
Ограничивайте доступ к сессиям из файловой системы или используйте пользовательские обработчики сессии.
При важных операциях просите пользователя заново ввести свои данные аутентификации.