Как защититься от замены значения PHPSESSID при котором доступ к сессии может нарушиться. 
Провёл один тест: создал сессии в двух браузерах. Заменил PHPSESSID из 1 браузера во втором.
Теперь я имею доступ к одной сессии в обоих браузерах. Вдруг случайно (?) при замене смогут получить доступ к другой сессии

Был 1 вариант защиты: создать в куках значение SECRET=md5(session_id()."string"); 

При каждом запуске сессии сранивать значение SECRET и md5(session_id()."string").

Если поменяют значение PHPSESSID или SECRET, то должно выкидывать.

Пожалуйста, предложите более оптимальный вариант.   

Это сообщение отредактировал(а) EntityFx - 2.10.2010, 11:25

EntityFx, в сессию можно записать информацию, передаваемую браузером - ip адрес, агент броузера, сопутствующий мусор про прокси. при получении Id сессии читать из нее все это и грязно ругаться в некоторых случаях.
Надо только представлять себе, что у добропорядочных пользователей:
- ip может поменяться в одной и той-же сесии, например, юзер пользуется мобильным устройством и быстро едет. Единственная радость - это не может случатся уж очень часто.
- прокси-мусор может поменяться непредсказуемым образом в зависимости от неопределенных причин

А недобропорядочные юзеры могут все это подделать. Включая куки.

Если информация настолько важна, что стоит возится с защитой - используй https.

Да, IP как-то не катит. Если используют прокси, либо у нескольких клиентов один внешний IP.

А если как вариант сделать JavaScipt, который по таймеру смотрит куки и восстанавливает первоначальное состояние?

Не, это сильно жёстко.   

Это сообщение отредактировал(а) EntityFx - 2.10.2010, 13:48