Session Fixation adalah salah satu teknik yang biasa digunakan para hacker untuk membobol suatu website. Pada teknik ini, hacker membuat halaman sendiri sebagai halaman tiruan yang berisi link lengkap dengan session id yang telah ditentukan olehnya.

Sebagai contoh misalkan ada sistem login pada sebuah situs dengan URL http://situs.com/login.php. Biasanya proses login tersebut disertai session id yang sifatnya acak. Dalam hal ini hacker bisa aja membuat suatu halaman yang merujuk ke alamat tadi dengan menambahkan Query String seperti http://situs.com/login.php?PHPSESSID=56789

Terlihat bahwa hacker telah mendefinisikan session id sendiri dengan tetap (fixed session) yaitu 56789. Sehingga apabila user lain melakukan login melalui link tersebut, maka pada saat yang sama hacker bisa masuk dengan mudah ke halaman admin karena telah memiliki session yang sama. Dalam hal ini session telah dibajak oleh hacker tadi.

Tapi hal ini bisa dihindari dengan memanfaatkan salah satu fungsi dari PHP sendiri yaitu session_regenerate_id(); Perintah tersebut lebih baik diletakkan pada bagian atas file yang digunakan untuk proses login. Tujuannya adalah untuk meregenerate / membuat ulang id session yang berbeda.