Beh, ogni volta che creo una sessione di login la codifico e ne creo sempre tre, una con il nickname dell'utente, uno con una variabile insospettabile che contiene l'ok per la validità della sessione e un'altra con l'ip dell'utente, il tutto criptato con più passaggi di un algoritmo che creo ogni volta in modo differente, così se non ho l'ok oppure cambia l'ip o ancora peggio il nome utente non c'è, allora la sessione non è più valida. Rischi che ti si scolleghi spesso, soprattutto ora che ci sono un sacco di dispositivi mobili che cambiano ip ogni volta che perdono la connessione, però è bello difficile da bypassare.