¡Hola! Gracias a los tres por contestar.

@vgonga1986: ¿Cuáles son los ataques por sesiones? Cuando escribí el mensaje pensaba que las sesiones eran un poco en plan cookies, vamos, que se guardan en el cliente, pero luego he leído que son server-side, por lo que lo que preguntaba en 1 y 2 queda resuelto. Pero si ahora me dices que existen ataques por sesiones, me vuelve a entrar la duda.

Y ya que estamos, ¿cómo sería la función getCadena()? Digo, en base a qué te va a devolver una cadena diferente por cada usuario, si precisamente no sabes qué usuario es? Si fuera la función getCadena($id), y luego en la función codificas por ejemplo md5("hola".$id), entonces vale, pero claro esto ya es sabiendo la ID del usuario que es lo que se supone que no sabes... :S ¿cómo lo haces? ¿por IP?

Lo del MD5 ya lo conocía y sí que suelo encriptar las contraseñas, pero aún así me da la sensación que eso es todavía poca seguridad (hay sistemas de login realmente largos, y comparados con el mío de 5 líneas...)

@repara2: El primer link que me has pasado está bien (me ha servido) pero sirve para proteger datos de formularios una vez la sesión ya está iniciada, yo busco protección sobre el inicio de la sesión. Y el segundo link tampoco es lo que busco.

@IEKK: Ok, me informaré sobre esas funciones, aunque alguna ya la conocía. ¡Gracias! :)