бгг, ты считаешь что эту защиту сложно будет обойти?

Это защита от кражи сессии,имеются и другие. Тоесть,если человек,даже с подобным ай пи и по угнанной сессии,попытается войти,то выйдет ошибка. Ибо число будет пустое,если же подставит вместе с числом,то это ничего не даст,потому как число мы получаем при авторизации пользователя. Нужно просто реализовать такой вариант. "ЕСЛИ,СТРАНИЦА НА КОТОРОЙ НАХОДИТСЯ ПОЛЬЗОВАТЕЛЬ,ОСТАЛАСЬ ПРЕЖНЕЙ,ТО ОСТАВЛЯЕМ КАК ЕСТЬ,ИНАЧЕ МЕНЯЕТСЯ ЧИСЛО И Т.Д." Вот этот момент как реализовать?

Зачем изобретать велосипед? Возьмите любой движок форума, и посмотрите, как это сделано.
Логика довольно проста: действительно, случайное значение (идентификатор сессии) создается при заходе на сайт и сохраняется в базе, при переходе на страницы сверяется. У клиента пишется в куки, и лишь если куки запрещены - в адресную строку параметром.
И две функции: одна создает сессии, вторая апдейтит.

При любом запросе страницы выполняется функция апдейт сессии. Если заход первый, функция, не найдя в базе такой идентификатор, или если идентификатор пустой, передает функции криэйт.
При переходе на страницы и при обновлении страниц работает только апдейт, сессия продолжается.

Конечно же, каждый раз при апдейте сохраняется time() события, чтобы по истечении времени старые сессии можно было удалить из базы.

Если сайт действительно стоит защищать от краж сессий, то почему бы просто не воспользоваться SSL (https)?