Sessions in PHP sind so eine Sache. An sich sollte man Session generell sein lassen und der User müsste sich bei jedem Request über eine SSL-Verbindung neu authentifizieren und das möglichst mit einem langen, wirklich zufälligen Passwort, das aus vielen verschiedenen Zeichen besteht, sodass es sich kein Mensch merken kann. Noch besser wäre es jedoch, User generell auszusperren, dann umgeht man jedes Risiko.
Schon immer so gemacht? Nun, dann mache es weiter so und alle anderen, die trotz des bösen Users gerne Sessions benutzen wollen, ob nun selbst implementiert oder mit den Mitteln, die PHP von sich aus bietet, sollte sich auf jeden Fall einmal mit den möglichen Sicherheitslücken und den Angriffstechniken auf Sessions beschäftigen.
Eine sehr gute und ausführliche Beschreibung davon findet ihr hier: Session-Angriffe - eine Analyse an PHP.
Wer allgemein noch tiefer in die Welt der Sicherheitslücken, Security holes und Angriffsstellen einsteigen möchte, dem sei auch das Buch PHP-Sicherheit ans Herz gelegt.