أولا تأكد أن cookie الجلسة (عادتا يكون إسمه PHPSESSID) لا يمكن الوصول إليه بإستعمال javascript عبر إضافة httpOnly

مثال لعمل ذلك :

ini_set('session.cookie_httponly',  '1');
session_start();

أيضا ممكن أن تربط الجلسة بالمتصفح و الأيبي بحيث تصعب الأمر على المهاجم

أيضا إذا كنت تهتم بمستخدميك يجب أن يكون عندك شهادة أمنية لموقعك https بحيث لا يستطيع طرف ثالث شم معلومات الجلسة

تقصد $_SESSSION ؟ ان كان اجل لاتقلق هي محمية ولاتحتاج الي تدخل منك .

يجب أن تكون ال cookie مسبوقة بخاتم موقع بمفتاح سري. لنقل مثلا أنك تفصل بعلامة ! بين معرف الجلسة وبين الختم مثلا

myval='XJwTLbfEQBI32tMQhwD4Dw!my_value'

الآن خذ القيمة my_value واحسب قيمة المقطع hash لها باستعمال المفتاح السري الموجود على الخادم فإن كانت قيمته تقابل ما خاتم الذي قبل علامة ! فإنها قيمة مقبولة جاءت حقا من الخادم وإلا ففرغ تلك القيمة لأنها معبوث بها. تسمى هذه الطريقة Cookie Validation أو signed cookies