gelen post verisinin hangi domainden gönderildiğini kontrol ediyorum sizede tavsiye ederim.

ip adresini user_id ile birlikte md5 leyerek db ye yazyorum. Aynı değeri sessionada yazıyorum. Güenliğin gerekli olduğu sayfalarda sessiondaki ve db dedki değerlerin birbirini tutup tutmadığını kontrol ediyorum.

ip adresi veya browser değişikliği durumunda prosedür baştan başlıyor.

Belirli süre sonunda kullanıcıyı logout ediyorum. Hatalı giriş denemelerini sayıyorum ve birden fazla hesaba giriş yapan ip leri logluyorum. Bu ipler kullanıcı adına admin test root vb benim için önemli olabilecek isimleri yazarlarsa ip blok uyguluyorum.

tabi bu dediklerim i basit şirket sitelerinde değil daha çok içerisinde para dönen sitelerde yapmalısınız.