A eso me refiero, ese "algo le da" es una cookie, con el ID de sesión, no es un hash, es el identificador de sesión, y este se manda por cookies, o puede ser por la URL, pero el mecanismo por defecto es una cookie.

Session Hijacking es el "robar/impersonar" una sesión, lo que hacen es obtener justamente ese ID de sesión, y cuando visitan tu sitio pasan ese ID haciendose pasar por la persona que ya tenía el otro ID, de esa manera no necesitan logearse ni nada.

Lo que tienes que cuidar es el XSS, que es precisamente la manera de robar la cookie de sesión, también indicale a PHP que use HTTP Cookies, de esa manera no las pueden leer desde Javascript. Referencia: http://php.net/manual/en/function.se...kie-params.php

Es bueno que uses sha1(md5()), pero es mejor que uses salts, así puedes usar md5 solamente si quieres ej: md5($token . $password . $salt);

Saludos.