Можно создать соль (случайную строку), добавить ее в строку идентификатора пользователя, затем md5 (или другое шифрование), сохранить тот же результат, что и файл cookie, и как переменную сеанса, а затем включить php на защищенных страницах, чтобы убедиться, что как cookie, так и переменные сеанса совпадают?Безопасные сеансы в PHP
Это было бы безопасно?
Не более безопасно, чем позволять PHP генерировать идентификатор сеанса для вас автоматически, используя вызов session_start().
Это все еще уязвимо для того, чтобы кто-то украл ваш файл cookie с идентификатором сеанса.
Для лучшей безопасности используйте HTTPS и отметьте куки-файлы как HTTP-только, чтобы javascript не смог получить к ним доступ. Вы также можете сохранить IP-адрес пользователя в переменной сеанса и проверить, соответствует ли IP-адрес удалённому адресу пользователя, отправляющему вам ваш файл cookie.