Есть несколько правил, которым необходимо следовать, чтобы повысить безопасность работы с сесиями:
- Используйте SSL, когда авторизованные пользователи выполняют важные операции.
- Обновляйте id сессии, когда уровень безопасности меняется (например, пользователь входит). Вы можете даже обновлять id сессии каждый запрос, если хотите.
- Задавайте время жизни сессии.
- Не используйте Register_Globals.
- Храните данные аутентификации на сервере. То есть, не отправляйте подробностей, таких как имя пользователя, в cookie.
- Проверяйте $_SERVER[»HTTP_USER_AGENT»]. Это немного понизит вероятность взлома сессии. Можете даже сохранять IP-адреса.
- Ограничивайте доступ к сессиям из файловой системы или используйте пользовательские обработчики сессии.
- При важных операциях просите пользователя заново ввести свои данные аутентификации.