Una pauta es llamar a session_regenerate_id cada vez que cambia el nivel de seguridad de una sesión. Esto ayuda a prevenir el secuestro de sesiones.

Mis dos (o más) centavos:

• No confíes en nadie
• Entrada de filtro, salida de escape (cookie, datos de sesión son su entrada también)
• Evite XSS (mantenga su HTML bien formado, eche un vistazo a PHPTAL o HTMLPurifier )
• Defensa en profundidad
• no exponer datos

Hay un pequeño pero bueno libro sobre este tema: Essential PHP Security por Chris Shiflett.

Seguridad Básica de PHP http://shiflett.org/images/essential-php-security-small.png

En la página de inicio del libro encontrará algunos ejemplos de código interesantes y capítulos de muestra.

Puede utilizar la técnica mencionada anteriormente (IP & UserAgent), descrita aquí: Cómo evitar el robo de identidad

Creo que uno de los principales problemas (que se está abordando en PHP 6) es register_globals. En este momento uno de los métodos estándar utilizados para evitar register_globals es utilizar el $_REQUEST, $_GET o $_POST matrices.

La forma "correcta" de hacerlo (a partir de la versión 5.2, aunque hay un poco de errores, pero estable a partir de la versión 6, que llegará pronto) es a través de filtros.

Así que en lugar de:

$username = $_POST["username"];

Usted haría:

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

O incluso solo:

$username = filter_input(INPUT_POST, 'username');

Este papel de fijación de sesión tiene muy buenos punteros donde el ataque puede venir. Véase también página de fijación de sesión en Wikipedia.

Usar la dirección IP no es realmente la mejor idea en mi experiencia. Por ejemplo, mi oficina tiene dos direcciones IP que se utilizan dependiendo de la carga y nos encontramos constantemente con problemas utilizando direcciones IP.

En su lugar, he optado por almacenar las sesiones en una base de datos separada para los dominios en mis servidores. De esta manera nadie en el sistema de archivos tiene acceso a esa información de sesión. Esto fue muy útil con phpBB antes de la versión 3.0 (ya lo han arreglado), pero creo que sigue siendo una buena idea.

Esto es bastante trivial y obvio, pero asegúrese de session_destroy después de cada uso. Esto puede ser difícil de implementar si el usuario no cierra sesión explícitamente, por lo que se puede configurar un temporizador para hacer esto.

Aquí hay un buen tutorial sobre SetTimer() y clearTimer().

El principal problema con las sesiones y la seguridad de PHP (además del secuestro de sesiones) viene con el entorno en el que se encuentra. Por defecto PHP almacena los datos de la sesión en un archivo en el directorio temp del sistema operativo. Sin ningún pensamiento o planificación especial, este es un directorio legible en todo el mundo, por lo que toda la información de su sesión es pública para cualquier persona con acceso al servidor.

En cuanto al mantenimiento de sesiones sobre varios servidores. En ese punto sería mejor cambiar PHP a sesiones manejadas por el usuario donde llama a sus funciones proporcionadas a CRUD (create, read, update, delete) los datos de la sesión. En ese punto, podría almacenar la información de la sesión en una base de datos o solución similar a memcache para que todos los servidores de aplicaciones tengan acceso a los datos.

Almacenar sus propias sesiones también puede ser ventajoso si está en un servidor compartido porque le permitirá almacenarlo en la base de datos que a menudo tiene más control sobre el sistema de archivos.

Configuré mis sesiones de esta manera -

En la página de inicio de sesión:

$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR']);

(frase definida en una página de configuración)

Luego en el encabezado que está en todo el resto del sitio:

session_start();
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR'])) {       
    session_destroy();
    header('Location: http://website login page/');
    exit();     
}

Php.ini

session.cookie_httponly = 1
change session name from default PHPSESSID

Eq Apache add header:

X-XSS-Protection    1

Revisaría tanto la IP como el Agente de usuario para ver si cambian

if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
    //Something fishy is going on here?
}