tambien es muy importante adoptar otras medidas de seguridad extra para el usuario como no propagar el id de session por la url .
muy buena aclaracion no lo hubiera hecho mejor alex1084
Código PHP:
Ver originalini_set('session.hash_function','whirlpool'); // md5 es el algoritmo por defecto
// para no propagar el id por url
ini_set('session.use_trans_sid',0); ini_set('session.use_only_cookies',1);
// solo sera accesible la cookie desde http y no sera accesible para lenguajes de script
ini_set('session.cookie_secure',0); ini_set('session.cookie_httponly',1);
siempre pongo el algoritmo whirpool pero es solo un ejemplo .