Доброго времени суток.
Есть простенькая авторизация, а точнее в сессии сохраняем состояние (залогинен/нет) и защита от CSRF, но тут защита работает только при POST запросах из формы. При этом если у юзера украсть куку, то можно спокойно просматривать защищенный контент, который не зарегистрированный пользователь не видит. Дополнительно проверять IP адрес?
