Temas relacionados con la seguridad y sesiones

Últimamente estoy dándole vueltas al tema de la seguridad en php, me da la impresión de que nunca es suficiente segura la aplicación que hago.
Tengo implementado mysql_real_escape_string() para evitar la inyección de código SQL, striptags y htmlentities para evitar que haya XSS o html en formularios y uso sesiones para la gestión de usuarios.
¿Creéis que habría algún aspecto más que debiera mejorar en cuanto a seguridad? sobretodo en subida de archivos, ya he implementado una función que determina el tipo del archivo pero igual las sugerencias serán bienvenidas.
Por ejemplo, phpBB usa un modo extraño de cifrado de contraseñas, ¿hay alguna manera de encriptar la contraseña sin md5 o con alguna cosa que la haga más segura y difícil ante un ataque de fuerza bruta?
Y ya lo último de todo. ¿Cómo puedo hacer que una sesión dure X, es decir, que cuando cierre el navegador la sesión no muera?

Gracias.

CSRF son los que usan el denominado token: http://es.wikipedia.org/wiki/Cross_Site_Request_Forgery

No lo conocía ._. ¿sabes alguna manera de frenarlo? aunque por la entrada en wikipedia me da que no tiene pinta de fácil.

es bastante sencillo de implementar, busca en google y encontrarás un ejemplo practico
http://www.serversidemagazine.com/ph...t-csrf-attacks

Muchas gracias, nunca se me había ocurrido ese método, pero parece muy útil.
Y respecto a las sesiones, ¿como puedo hacer que duren el tiempo que quiera?

eso lo puedes configurar en el php.ini, solo busca la sección [session], y busca en el manual de php como configurarlo

posteo mañana cualquier duda

¿No hay ninguna forma de hacerlo mediante php? en muchos hostings por ejemplo no dejan modificarlo y el proyecto que estoy haciendo sería open source, por ello no todos podrán tener acceso al php.ini

si tu hosting no te deja, puedes usar http://mx.php.net/manual/en/function.ini-set.php que hace el cambio en tiempo de ejecución y de modo temporal mientras el script se ejecuta

Okei, gracias ^^