Hola yo te recomiendo cambiar el algoritmo por defecto utilizado para generar el id de session por defecto es MD5 yo te recomiendo whirlpool

ini_set('session.hash_function','whirlpool');

ademas como decias que tenias problemas con las sessiones que si se cierran solas etc...

ini_set('session.cache_limiter','nocache');
ini_set('session.cache_expire',180);
ini_set('session.cookie_lifetime',0);

para no propagar el id por url y

ini_set('session.use_trans_sid',0);
ini_set('session.use_cookies',1);
ini_set('session.use_only_cookies',1);

como te decia gatorv solo sera accesible la cookie desde http y no sera accesible para lenguajes de script

ini_set('session.cookie_secure',0);
ini_set('session.cookie_httponly',1);

la ruta donde guardamos las sessiones

ini_set('session.save_path','ruta directorio por ejemplo system/tmp/');

todavia quedarian algunas cosas mas pero creo que esto es lo mas importante


aparte del token tambien usaria la cabecera user agent y aparte de comprobar el token cada ejecucion del script generaria uno nuevo cada ejecucion al igual que el id de session ( session_regenerate_id() )


corrigeme si me equivoco en algo MAESTRO GatorV

saludos