и что? какая разница, что это если это позволяет слить БД с потрохами?

секретный ключ для того что бы фильтровать тех кто "без сессии", иными словами кто каждый раз стартует новую сесиию. Уганть могут это правда, но контроль постоянства ip и браузера никто не отменял.

_____________
Стимулятор ~yoomoney - 41001303250491

про инъекции я не спорил, я говорил о бессмысленности секретных ключей в куках. Сам код я не смотрел

сессии используют те же куки, если юзер "каждый раз стартует новую сессию", значит куки у него отключены. В чем смысл? Или я тебя неправильно понимаю?

Tor browser то же никто не отменял, если захочет накрутить, то всё равно накрутит. ТС вроде как нужно просто различать клики разных юзеров и отслеживать их активность на сайте. Идентифицировать юзеров по ip и юзер агенту плохая идея, тут либо ручками генерить уникальные айдишники и вешать их в куки, либо стандартные сессии, которые это делают "из коробки".

в этом и есть смысл, таких можно в "мусорку", а статистику вести по "белым и пушистым"
в любом случае лучшая идентификация юзера - это авторизация, без авторизации это совокупность методов которые в любом случае не дают 100% гарантию.

_____________
Стимулятор ~yoomoney - 41001303250491