PHP заблокированный ip-адрес

Так и есть. Если IP пользователя изменится, он выйдет из системы. Хотя злоумышленник все еще может имитировать IP, если он его знает, так что это не совсем безопасно. Взгляните на эти страницы для получения дополнительной информации о том, как предотвратить захват сеанса:

• Как лучше всего предотвратить захват сеанса?
  
• правильное предотвращение захвата сессии в PHP
  
• фиксация PHP сессии / угон
  
• остановка сеанса угон

Я также очень рекомендую Криса Шифлетта. Его статью о захвате сессии можно найти здесь:

Http://shiflett.org/articles/session-hijacking

if (isset($_SESSION['last_ip']) === false) {
    $_SESSION['last_ip'] = $_SERVER['REMOTE_ADDR']; 
}

Приведенный выше код означает, что если сеанс "last_ip" еще не создан, то он будет создан и сохранит значения текущего ip-адреса пользователя.

if ($_SESSION['last_ip'] != $_SERVER['REMOTE_ADDR']){
    session_unset();
    session_destroy();  
}

Приведенный выше код указывает, что если значение сеанса "last_ip" не равно вашему текущему ip, он освободит все переменные сеанса(session_unset) и уничтожит все данные, зарегистрированные в сеансе (session_destroy).

Давайте опишем реальный сценарий.

Например, я сначала захожу на ваш сайт блок кода хранит мой текущий ip. Теперь мой интернет отключился и я снова подключаюсь к своему провайдеру, который имеет dhcp включен и дает новый ip-адрес мне. Поэтому, если вы снова посетите свой сайт, второй блок кода проверяет, что у меня другой IP, поэтому он будет выходить из системы.

Также отредактируйте свой второй блок кода так, чтобы, если сеанс "last_ip" еще не создан, он не выбросил уведомление php.

if (isset($_SESSION['last_ip']) && $_SESSION['last_ip'] != $_SERVER['REMOTE_ADDR']){
    session_unset();
    session_destroy();  
}