Достаточно ли регенерации идентификатора сеанса после успешного входа в систему, чтобы предотвратить фиксацию сеанса?

В настоящее время я читаю руководство , и меня немного смущает это:

Чтобы устранить эту слабость, это помогает понять масштаб проблемы . Фиксация сеанса - это просто ступенька: цель атаки - получить идентификатор сеанса, который можно использовать для взлома сеанса .Это наиболее полезно, когда захватываемый сеанс имеет более высокий уровень привилегий, чем злоумышленник может получить законными способами. Этот уровень привилегий может быть таким же простым, как вход в систему. Если идентификатор сеанса обновляется каждый раз, когда происходит изменение уровня привилегий, риск фиксации сеанса составляет {{1 }} практически исключено:

Если я правильно понимаю, мне нужно только создать session_regenerate_id () , прежде чем я назначу значение вроде logged_in = true или user_id = id , а затем я сделал защиту от фиксации сеанса?

Этого достаточно? Что еще я могу сделать?