si, lo que pasa es que se esta comparando session contra server
lo de usar USR, PASS e IP es buena idea, tambien lo de desloguear.

entonces cren que con esas validaciones ya no me hackeen?

por ejmplo una ves que inicia sesion, en sesion guardo
$_SESSION["tipoUSR"] = "admin"

y en cada pagina de administrador comparo si esa variable de session tiene ese valor. cren que esto es seguro?

algun hacker podria cambiar el valor de la sesion?
por que hasta donde yo entendia las var de sesion se ejecutan del ladod el servidor por lo tanto creia que el hacker no tiene acceso a estas.
pero con lo que me comenta maycolalvarez temo que un hacker valla a oder cambiar facilmente de alguna manera el valor de $_SESSION["tipoUSR"] a como el convenga.

puede un usuario cambiar sus variables de session a voluntad?