По идее нельзя, куки легко подменить или заменить, если захотят и сессию взломают))

Если тебя это так волнует, при идентификации юзера еще сделай его хеш и тоже занеси в сессионную переменную, а если прям уж сильно беспокоишься сделай так

$key = 'sffk2340xf'; // твой личный ключ, т.е сюда пишешь что хочешь он добавится к хешу
$_SESION['hash'] = sha1($_SESION['id']).$key; 
// только не забудь, что в будущем при проверке придется присоединять пеерменную $key чтобы хеши сошлись...
//можешь эту пеерменную вынести куда подальше, а потом просто присоединять

Ну если очень хороший продуманный хакер полезит, но это врядли) у тебя наверняка не самая крутая система и сайт не всемирной маштабности, сделай как я сказал и будет тебе двойная защита, т.е если хеш не совпадет, то и значит юзера подменили и т.д..

Не пугайте человека Сессию можно подменить, но для начала её идентификатор нужно у пользователя как-то выкрасть.
Чтоб такого не происходило просто привязывайте сессию к IP. При авторизации заносите в сессию ($_SESSION['ip'] например) IP-адрес человека. И при каждом обращении к сайту сверяйте. Если IP разные- сессия угнана.
А проверка по id в вашем случае - вещь вполне пригодная.

а если у меня IP динамический?) сам у себя угоняю сессию?)

Ребят, эта тема не особо из-за безопасности конкретного юзера) естественно я добавлю проверку либо ip либо хеш, такое я делал, но главная проблема чтоб данные заносились именно конкретному пользователю и чтобы не было ошибок, тоесть

insert into table values('','','','' where id= $SESSION[id];

это суета больше из-за допуска ошибок. Я не вижу другого способа как то утвердить/зарегить id пользователя, с которым он может работать на сайтах. Сессионная переменная подходит лучше всего.

Ну а че паришься то, делаешь проверку

if ($_SESION['hash'] == sha1($_SESION['id']).$key) {
     insert into table values('','','','' where id= $SESSION[id];
   }
else exit();

Только это нужно делать на серверной стороне, т.е ты с формы отправляешь все данные, т.е $hash = $_SESION['hash']; $id = $_SESION['id'];
А уже при приеме POST данных в обработчике проверяешь данные.

это можно, только не так наверно подробно, а в начале сайта буду проверять)

if(isset($_SESSION['id'])  && $_SESION['hash'] == sha1($_SESION['id']).$key){
 echo "вы на сайте";
// и дальше с чистой совестью используем переменные
}

нет ты с самого начало при авторизации пользователя идентифицируешь сессии т.е


$_SESSION['id'] = $user_id
$_SESION['hash'] = sha1($user_id).$key

А потом уже с ними работаешь, и как хочеш ь проверяешь.
А то что ты написал, я заменю $_SESSION['id'] на свою переменную и она же заменится в sha1($_SESION['id']).$key

Ребята, остановитесь! Какое хэширование!!! Если сессию угонят, никакое хэширование по поможет!

После авторизации добавляем в сессию user_id и идентификатор авторизации auth. А далее во всех скриптах проверяем, если auth существует, то зеленый свет, а если нет, то красный.

Сессию угнать можно только если сам автор сайта наделал в нем косяков. В остальных случаях, это настолько сложно, что если вы не владелец "Вконтакте" или т.д. никто и напрягаться не будет.

Что бы вы в сессию не записали, у нее есть свой id. Если этот id украдут, то у злого хацкера будет точна такая же сессия как и у вас, в месте с вашими хешами и т.д.

Так что выучите алгоритмы и не делайте ошибок и будет вам счастье.

во первых: как у вас работает авторизация? Юзер свой id вводит или логин?
Во вторых: вот тут

mysql_query("select from users where id=$id and password=$pass");

Если мне удастся попасть в $id или $pass я жестоко ломану базу данных и возможно весь сервер целиком.
А вот так я этого не сделаю:

mysql_query("select from users where id='$id' and password='$pass'");

Почему? У вас есть мысли по этому поводу?

;;Я не вижу особой уязвимости и в моем первоначальном коде
а особая и не нужна (; самая простая xss сведет на нет все труды по хешированию итд (;

нужна панацея? Тогда прекрасный вариант предложил Белый Тигр - привязка по IP. Да, есть недостаток - при динамическом IP придется заново вводить пароль, но сессия, добытая по XSS будет бесполезна (;

Итак, "можно ли подменить эту сессионную переменную" - да, точнее, можно украсть сессию (;
Есть ли панацея? Да, но Безопасность=1/(1072*Удобство).
Насколько безопасно использовать такую систему? Гораздо безопасней, чем в открытую логин/пароль держать в куках, однако, если нужна безопасность "высшей пробы" - см. совет Белого Тигра (;

DySprozin - ip тоже не панацея. Его подделать не так сложно.

ApuktaChehov
а вот это глупости (; единственный способ подделать мой ip - это пробраться на мой комп (вирусом или физически) и установить на нем прокси-сервер (; ну... конечно, чисто в теории можно меня заманить на сайт, где сидит злобный эксплоит за сто баксов, обходящий последние версии антивирусов, однако, мы ведь не берем такие варианты? (;

DySprozin - любая информация приходящая от юзера, включая ip может быть ложной. Если я знаю ваш ip, то я могу передать его веб-серверу в качестве своего. Так что не надейтесь на это. При большом желании и такое дело обходится.
Во вы сейчас на сайте. Вы уверены, что на вашем чердаке, где установлен свитч провайдера, я не подложил сниффер? Если он там есть, то я знаю, все. Ваш ip, пароль, ваши куки, вашу сессию.

Так что судите сами...

Это, конечно, уже на пароною смахивает, но возможность все равно есть.

ApuktaChehov
;;то я могу передать его веб серверу в качестве своего.
и что? первый же роутер обрубит левый ip, так что ответа вы никогда не дождетесь (;

;;Если он там есть, то я знаю, все. Ваш ip, пароль, ваши куки, вашу сессию.
знаете мою сессию, но благодаря привязке по ip сделать с ней ничего не можете (; ну не обидно? (;

Ну а паранойя со сниффером решается просто: ставим сайт на ssl (https) - и в сниффере получите вы такую абракадабру, что во век не разберете

DySprozin - читаете мои мысли.

where id=$id and password=$pass"

это схематично. понятно что уязвимо все, я для примера написал. Тут схема проста.
1. идет проверка на наличие записи в базе
2. если запись есть регистрируем переменную, в данном случае id ($_SESSION['id']) и работаем под данным номером. Проверка идет в данном случае! через номер и пароль. (если я использую логин и пароль я записываю две переменные сеанса userid и username: первая для внутренней работы сайта а вторая просто выводит имя везде, где надо)

$result = mysql_query("select from users where id=$id and password=$pass");
if (mysql_num_rows($result)>0 ){
	$_SESSION['id'] = $id;  //получаем переменную номера юзера
}

на всех страницах (абсолютно всех где нужна авторизация) простая проверка идет

if(isset($_SESSION['id'])){
 echo "вы на сайте";
}

Некоторые, почему-то на всех страницах проверяют наличие записи в БД, я считаю, что достаточно один раз ее зарегить и использовать не нагружая лишний раз БД. Ну и для полной проверки придется записать IP в таблицу онлайн юзеров, чтобы проверять sid и id

;;я считаю, что достаточно один раз ее зарегить и использовать не нагружая лишний раз БД
ИМХО, правильно считаешь (;