En realidad no hay forma (que yo conosca) 100% segura sobre sesiones y hijacking, ya que el que se ah robado el ID de sesión tiene al alcance muchas formas de saltarse cualquier tipo de validación, unas mas faciles que otras, pero de aquí se separan 2 cosas, si tu sistema usa datos sumamente privados o datos sensibles lo mejor que puedes hacer es usar una conexión segura (https) y enviar por esa via las cookies y te quitas de problemas, el punto es que tanto guarda tu sistema y que tanto piensas "gastar" en la seguridad de tu sitio, no es lo mismo un foro, que un sitio que maneja datos bancarios...