Hi,

ich habe ein datenbankgestürtztes Login-System, bei dem ich nach erfolgtem Login je Seitenaufruf prüfe, ob sich die Session_id geändert hat

Das ist zuwenig. Zu prüfen wäre, ob es zu Seiten, die eine Anmeldung/Berechtigung erfordern, eine SID in der Tabelle der angemeldeten Benutzer gibt.

Diese Tabelle kannst Du klein halten, indem Du nicht jede SID darin speicherst, sondern nur die SIDs, die zu einer erfolgreichen Anmeldung geführt haben. Das setzt voraus, dass es auch ohne Anmeldung eine konstante SID über die Browsersitzung gibt, genau die wird dann bei einer erfolgreichen Anmeldung serverseitig gespeichert, ansonsten nicht.

Ist es sinnvoll, auch noch zu prüfen, ob sich die IP geändert hat oder ist das sicherheitsmäßig kein weiterer Vorteil?

Nicht sinnvoll. Layer 3 ist Netzzeugs und hat auf der Anwendungsebene nichts zu suchen. Überlasse den Layer 3 den Kollegen von der Feuerwehr ;)

Hotti