Hi!

wie könnte ich sowas unterbinden?

100%ig kannst Du es nicht unterbinden.

Ich meine viele Webportale (acuh bekannte, z.B. web.de) benutzen Session nach diesem System...

Ja, und die fordern die User teilweise recht aufdringlich auf sich am Ende auszuloggen, eben aus diesem Grund, denn wenn sich ein User ausloggt, kannst Du die Session löschen und dann bringt die SessionID nichts mehr.

Sollte ich auch immer die IP prüfen?

nein, denn die kann sich während der Session verändern (z.B. wenn eien Verbindung zwischendurch getrennt wird...)
Eine leichte Verbesserung kannst Du erzielen wenn Du die Verwendung von Cookies zur Übergabe der SessionID erzwingst, denn Cookies werden normalerweise nicht in dem Maße geloggt wie Referrer. Nur akzeptiert nicht jeder User Cookies...

Wie lange sollte eine Session denn aktiv sein

das kommt auf Deine Anwendung an, das musst Du selbst wissen. Sie solte möglichst kurz sein, aber nicht so kurz dass andauernd unbescholtene User rausfliegen. Musst halt einen Mittelweg finden.

und wie kann ich das über PHP einstellen (vielleicht mit "ini_set")?

genau. Im Manual steht mehr dazu: http://de3.php.net/manual/de/ref.session.php#session.configuration

Grüße
Andreas