winjose:
Tu preocupacion es valida y muy importante.
Ese script protege la entrada unicamente y es excelente y talvez uno de
los mas innovadores aportes que hay en foros del web.
Sin embargo, le hace falta la proteccion a todas tus paginas una vez el usuario haya ingresado.
Y requiere de utilizar
session_regenerate_id();
Y captura del:
$HTTP_USER_AGENT
$REMOTE_ADDR
Esto es necesario no solo cuando se ingresa
sino que cuando el usuaro sale, navega por otros
sitios y vuelve a ingresar.
Y lo mas importante es que cada archivo php que visite
el usuario se debe hacer un chequeo de que es
el mismo User_agent y la misma Remote_addr o IP
que ha ingresado; de esa manera jamas podra un Hacker,
ni saber la ID de session vigente ni secuestrar la sesion ni
podra entrar con otro navegador ni podra entrar desde otra
IP.
Saludos
Y espero te ayude
franco