безопасная система входа в систему PHP?

Я разрабатывал CMS на основе PHP для использования на веб-сайте моей команды робототехники. Конечно, есть много других платформ, но что в этом забавного?

На самом деле, мы получаем дополнительные очки за то, что можем сказать, что мы сделали больше, чем просто создали шаблон для Drupal или WP. Это немного не связано, но я бы хотел когда-нибудь выпустить CMS как FOSS, но он обязательно должен стать более зрелым и более безопасным. Но я отвлекся.

Я ' Мы достигли точки в разработке этой системы, где мне нужна система входа в систему. Это вызвало больше разочарований, чем я ожидал. Я могу быть дотошным, когда дело доходит до безопасности, и это не является исключением. Проблема в том, что я знаю, как позаботиться о безопасности базы данных (не доверять вводу пользователя, хранить пароли как хэш со случайной солью и т. Д.), Но мне не хватает знаний, чтобы создать хорошую систему клиент-сервер. Несколько вопросов по этому поводу: Насколько безопасно было бы использовать переменные сеанса? Как правильно реализовать переменные сеанса в этом отношении? Должен ли сессионный куки-файл регенерироваться при каждом просмотре страницы? Вы отказываетесь от большой безопасности, когда используете cookie-файлы, чтобы пользователь продолжал входить в систему в течение любого промежутка времени, но каковы наилучшие практики для внедрения системы такого типа?

Хороший учебник по этому вопросу также очень помог бы.

Спасибо за ваше время.