io fare session_id random con hash di una stringa confrontandola con qualcosa che proviene dal browser tipo ip e useragent secondo me hai già un buon livello di sicurezza poi se sei dentro un https .. tecnicamente sei protetto nel tunnel ssl

il massimo se fosse possibile sarebbe un codice basato sul seriale del disco rigido ma php non centra nulla dovrebbe essere tipo una chiave software fatta per lanciare le pagine php