Cita: No, en realidad validarás el hash generado por los user agent (el que se genero al iniciar sesión y que debe estar guardado como una variable de sesión contra el hash() generado con el user agent de cada petición), si en el user agent cambia 1 solo caracter el hash resultante con md5() será diferente, por lo tanto puedes estar seguro que algo cambio en el cliente...
Esta es precisamente la parte que no entiendo.
Un usuario se loguea y en ese momento se genera un md5 que contiene su user agent. El usuario hace otra petición y justo en ese momento alguien obtiene su id de sesión y su user agent.
Ahora el atacante configura su entorno para simular que es el usuario legítimo y envía una petición.
Desde el momento en el que ha modificado la cabecera del user agent correctamente... ¿qué más da que esa variable contra la que compruebas esté con el user agent sin codificar o codificado?
Para un mismo dato de entrada la función de codificación generará exactamente el mismo dato de salida por lo que el atacante pasará la validación.