dúvida sobre segurança de login

[Mario Junior]

Boa tarde.

Tenho umas dúvidas com relação à segurança de login e proteção às páginas.

Eu tenho noção de como fazer um login. Faço mais ou menos da seguinte forma:

Realizo o select no banco de dados informando dados como usuário e senha enviados;

Destes eu retiro caracteres perigosos para evitar um SQL injection e faço o select com eles "Limpos" ;

Se o login validar, eu crio uma SESSAO que leva o ID do usuário e suas permissões de acesso;

Nas páginas a serem acessadas eu verifico a existencia da SESSAO onde eu guardei o ID, se existir , o usuário acessa a página, caso contrário, ele volta para a tela de login.

Porém , li certa vez em um site que é possível criar sessões falsas, fazendo com que o fraudador consiga acessar as páginas onde eu estaria verificando a existência da SESSAO para validar o acesso.

É aí que está minha dúvida: isso realmente é possível? Como eu poderia evitar esse tipo de fraude? Já não basta eu evitar as injeções de SQL?

Muito obrigado desde já.

[Marcus Nunes]

É possível criar uma session sim, mas apenas o ID dela.

Para alguém conseguir usar, a mesma session deve estar sendo usada por outra pessoa naquele mesmo momento (o que é muito díficil acontecer).

Durante anos utilizo e nunca tive problemas. :)

Para mais segurança, atualize o ID da session a cada X minutos.

[Mario Junior]

Certo Marcus.

Vou setar o tempo das SESSIONS então.

Agradeço a atenção.

Algo mais pode ser feito além disso?