Te falta regenerate_session_id y crear tokens que cambien cada vez que chequees para evitar estos ataques:

-Session fixation
-Session hijacking
-Session poisoning (injection).

Te recomiendo un buen libro: SECURING PHP WEB APPLICATIONS de Tricia y William Ballad.
- ISBN-13: 978-0-321-53434-7. por amazon lo tendrás. ahí lo explica todo claro, aunque ahora que me he vuelto paranoico he pillado otro sobre applications hacking security y no recuerdo que mas, estoy esperando recibirlo.