Cita: se podria verificar la hora guardada en una cookie por ejemplo y al recargar verificamos que si es menor de x segundos no haga nada y si es mayor regenere
Sí, parece una buena solución. Cuando toque revisar el sistema de manejo de sesiones le daré un par de vueltas porque recuerdo que tenía puesto lo de regenerar el ID constantemente pero al final lo tuve que quitar porque en las peticiones AJAX era un cachondeo xD.
Por cierto
Nemutagk Cita: si no manejo datos importantes no me preocupo, implemento una seguridad basica, si alguien secuestra alguna sesión no tienen acceso a información critica, en cambio, si la aplicación maneja información sensible, implemento una conexión segura HTTPS y ya esta
¿Haces una programación personalizada para cada proyecto? Lo digo porque si tienes tu propio framework o usas uno ya hecho, la seguridad de un sitio sin información confidencial y otro con información confidencial es exactamente la misma, lo único que cambiaría es que uno va por http y el otro por https. Puedo ver que a nivel de BD hagas "cosas" que hagan que una sea más segura que otra, pero a nivel de código imagino que tendrás lo mismo, si no se perdería la gracia del framework.
Saludos