Userdata можно сохранить в сеансе.Если у вас настроены сеансы для использования базы данных, единственным файлом cookie будет файл cookie ci_session или что-то еще, что вы указали, и имя cookie + ip / hostname будет сопоставлено с таблицей сеансов базы данных.
Хранение хешированного пароля в-сессия будет полностью безопасной, в вашей собственной базе данных.Нет проблем.
Для предотвращения кражи сеансов следует использовать совпадение ip или hostname (либо при каждой загрузке страницы, либо чуть реже, у некоторых людей есть динамические IP-адреса), не уверен в автоматической проверке, новсегда хорошо, если вы проверяете сами.
Предотвращение кражи данных сеанса во многом похоже на это.Если кто-то не перехватит ваш cookie и волшебным образом не сообщит о ложном IP (или, ну, в общем, поделится IP / именем хоста с целью), этого достаточно.Вы также можете сделать еще одну проверку, сопоставив user_agent.Это вам придется делать вручную.
Это почти все.