Hello,

Spontan würde mir aber als weg einfallen, User Agent und Remote Address in der Session zu speichern und bei jedem Request zu vergleichen
Ein User ist nicht eindeutig einer IP-Adresse zuzuordnen. Eine Session ist nicht einmal eindeutig einem User-Agent zuzuordnen.
Ja, aber als Angreifer, Session-ID, UA und IP-Adresse zu erraten, selbst wenn es nur UA & IP-Adresse ist, sollte doch sehr unwahrscheinlich sein, oder?

100% risikofrei gibt es sowieso nicht.

Die Sicherheit bei Nutzung von "Sessions" kommt primär aus

a) dem sehr großen Zahlenbereich möglicher IDs, aus dem möglichst kryptographisch zufällig eine ausgewählt wird (macht es unmöglich, die ID zu erraten)

b) dem Abschotten dieser Information während der Kommunikation zwischen Browser und Server.

c) einer möglichst kurzen Zeitspanne, in der der Einfach-Schlüssel (die Session-ID) passt

http://de3.php.net/manual/en/function.session-regenerate-id.php

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg