1) ... Pues si .. "exploits" y fallas de seguridad siempre hay .. ya sean de PHP o del sistema operativo que use ese servidor. A todo esto .. a los "hackers" les ayuda una mala configuración de PHP o del servidor que se use. Esto es el cuento de nunca acabar .. cuando un cree que su sistema es "seguro" .. llega otro que sabe más que uno y le tira por tierra todo su sistema ...

2) Pues no .. con una sola sobra ya que todas viajan en la misma sesión y esta es identificada de forma única bajo un mismo SID (Identificador único de sesión).

3) Con la variable de servidor HTTP_REFERER (la puedes acceder por $_SERVER['HTTP_REFERER']) pero no es 100% segura .. esa variabel de servidor es obtenida de las cabeceras HTTP del cliente que conecta al servidor HTTP (y que PHP "le pregunta" a este por ese valor entregandoselo) .. por ende .. es "facil" relativamente "simular" hasta tu própa cadena de "referrer" que vas a buscar (tu domino).

4) .. No es necesario que metas en una variable de sesión la variable de servidor REMOTE_ADDR (que por cierto .. DEBES accederla por el array asociado $_SERVER si quiers seguridad y no asumirla como global como lo estás haciendo con $nombre_variable_servidor ...) .. Tus condicionales de "seguridad" siempre pueden acceder directametne a esa variable de servidor para hacer la comparación .. Insertar esa variable en una sesión no le veo mucho sentido ya que la sesión es "temporal" y tienes ese dato a tu disposición como si de otra variable se tratase.

Un saludo,

PD: .. los +100 mensajes .. no tengo que responderlos obligatoriamente (no me pagan por venir a forosdelweb.com a ayudar en lo que pueda ..) .. Sólo que me gusta hacer comentarios a lo que veo (como te los hice).