Powtórzę to co ostatnio powiedziałem. Nie wymyślaj własnych zabezpieczeń.
Witam, podstawowe PHPSESSID z hashem md5 wydaje mi się zbyt łatwy do odgadnięcia nawet przy ataku.
W obecnych wersjach PHP, PHPSESSID nie jest wynikiem hasha, tylko 128 (lub więcej)-bitową wartością pseudolosową. Z tego co wiem, zazwyczaj zakłada się, że jest to wystarczająco niezgadywalne.
Dodałem ciasteczko z losowymi 128 znakami i losową nazwą tej samej długości
A jeśli Twoja strona jest wrażliwa na XSS lub inne luki, to to atakujący może dostać się i do PHPSESSID i do tego ciastka równie łatwo.