أولا تأكد أن cookie الجلسة (عادتا يكون إسمه PHPSESSID) لا يمكن الوصول إليه بإستعمال javascript عبر إضافة httpOnly

مثال لعمل ذلك :

ini_set('session.cookie_httponly',  '1');
session_start();

أيضا ممكن أن تربط الجلسة بالمتصفح و الأيبي بحيث تصعب الأمر على المهاجم

أيضا إذا كنت تهتم بمستخدميك يجب أن يكون عندك شهادة أمنية لموقعك https بحيث لا يستطيع طرف ثالث شم معلومات الجلسة