Burada PHP oturumları güvenliğini açıklar PHP manuel makale: link

Muhtemelen oturumları korumak için en etkili yolu, sitenize ve kurabiye oturum id depolamas zorlayarak SSL etkinleştirmek için olacaktır. Sonra sitenize geçilecek gibi çerezler şifreli olacak ve yeterli korumayı garanti etmelidir.

RaYell dediği gibi HTTPS kullanabilirsiniz, ancak bir sertifika göze alamaz eğer, hatta HTTP ile bir oturum sağlamak için bazı yolları vardır:

• Eğer oturum oluşturmak oturumda kullanıcı-agent saklayın. Her istek üzerine kullanıcı-agent kontrol edin. User-agent değiştirirse, oturumu silmek.
• Yukarıdaki gibi, ancak IP adresi ile aynı. Can sıkıcı şey ISS bir sürü dinamik IP sağlamak olduğunu, ve oturum illegitimately silinebilir.
• Düşük bir oturum zaman aşımı süresini ayarlayın. Bu oturum ele engel olmaz, ancak riskleri azaltır. Bu olsa kullanıcıları rahatsız edebilir, dikkat.
• Düşük oturum ömür (1 gün) ayarlayın. Bu 1 gün sonra reauthenticate için zorlar, böylece bir oturum kaçırıldı bile, birden fazla gün için kaçırıldı olmayacak.

Bu tavsiyeleri oturum ele engel olmayacak hatırlıyorum. HTTPS kullanmak sürece, dramatik riskleri azaltacak, ama her zaman bir riski olacaktır.

session_id kullanıcıların sistemde bir tanımlama saklanır. Emin değil koruyarak ne demek.