Trotzdem ist die IP-Einbeziehung  gerade bei Session eine Überlegung wert, denn man kann zwar Proxys nutzen aber man kann selten, es sei denn wie in meinem Szenario, als Angreifer die IP des Opfers wählen.
Somit ist "if(ip_user != ip_angreifer)..." durchaus als Möglichkeit anzusehen. Der einzige Nachteil, der dabei passieren kann, sind wechselnde IP's innerhalb der einen Session. Da würden die User dann zum erneuten Einloggen aufgefordert.

Ich möchte es so beurteilen.
Eine IP kann sich ändern während einer Session. Ich beobachte das bei mir und bei anderen. Selbst wenn ich die IP nur im IP/16 Bereich als zusätzliche Prüfung einbeziehe, kann dies den Unterbruch einer Session bedeuten.

Wir sind hier mehrere Leute, die über WLAN den gleichen Internetzugang verwenden. Hierbei werden meiner Beobachtung nach bis zu einem halben Dutzend IP/16 Bereiche verwendet, womöglich noch mehr. Es ist nicht ausgeschlossen, dass zwei Anwender hier den gleichen IP/16 Bereich zugewiesen erhalten.

Wenn du die IP also mitberücksichtigen willst, dann müsste dies ein vom User zusätzlich aktiviertes Feature sein, denn nur er kennt das Verhalten seiner IP.

Was die Problematik von Login via Internetcafe angeht, kann es keine Sicherheit geben, denn ein Passwort an dieser Stelle eingegeben kann per se durch einen Keylogger gespeichert werden.
Hier helfen nur sogenannte Wegwerf-Passworte (One-Time-Passwords).

mfg Beat