Verificação de dados em área protegida

Olá, bom dia a todos.

Estou em buscar de mais conhecimentos em segurança para aperfeiçoar meus projetos.

Gostaria de uma opinião a respeito.

Atualmente uso sessions em meu sistema de login, e nela, quando um usuário faz o login com user e pass, gero uma sessão contendo :

• "ID" do user criptografado
• "USER" criptografado

E salvo no banco de dados, a hora do login, Browser, e o id da sessão gerado.

• E em cada solicitação verifico se existe o USER no BD.
• Verifico se o browser no BD confere com o atual
• E verifico se a sessão usada confere com o BD

E em cada solicitação regenero o id da sessão e salvo no BD.

Tem algo a mais que posso fazer para aumentar a segurança?

Essas consultas ao BD em cada solicitação acarreta em algum problema ou lentidão no servidor?

Abraços e obrigado