まとめ記事↓ http://qiita.com/mpyw/items/7852213f478e8c5a2802 >> ログインフォーム画面で、session_start()し、ログインの認証が成功したらsession_regenerate_idで新しいセッションを発行⇒ログインが必要な画面でセッションの有無を確認 そんな感じです。ログインが必要な画面なのに未ログイン状態またはログインしていてはいけない画面なのにログイン状態のときなどはheader+exitで処理します。 >> セッションハイジャック対策にsession_regenerate_idをするようですが、これは全てのページで毎回行ったほうが良いのでしょうか？ 全てのページで行うには負荷がかかりすぎるので、ログイン成功直後だけで十分です。ただ、もちろん第1引数はtrueにしてください。 >> セッションIDの受け渡しはcookieに保存する方法とURLに含む方法があり、セッションハイジャック対策について記述しているサイトではcookieが推奨されている雰囲気ですが、PHPマニュアル(http://php.net/manual/ja/session.idpassing.php)では信頼性がないとあります。どちらを使うのが良いのでしょうか？ Cookie1択です。URLで渡す方法にはさまざまな危険が付きまといます。まとめ記事中で説明しているので探してください。 >> セッションの有無のチェックはsession_start()を記述するだけでサーバーが行ってくれるのでしょうか？$SESSIONにセッションIDを保存してissetで調べるといった記述が必要なのでしょうか？ issetを使います。例えばログイン成功後にユーザIDを格納しておくのであれば if (!isset($_SESSION['user_id'])) { ...ログイン画面へのリダイレクト... } のような処理を行います。 >> メールアドレスとパスワードでのログイン認証を実装したいのですが、 その場合、マイページでユーザー情報を表示したい際、ログイン時に入力したメールアドレスを$SESSION[email]に格納し、マイページのphpプログラムにて、$SESSION[email]に格納されたメールアドレスを検索条件にしてSELECTで他の情報を取得したら良いのでしょうか？メールアドレスを$SESSION変数で受け渡しするのはセキュリティ上危険でしょうか？（危険であれば内部管理用のユーザーIDを$SESSIONに格納してデータを取得しようと思います。） "平文パスワード" 以外ならどんな情報でもセッションに格納してしまって問題ありません。SELECTで該当するメールアドレスに対応するパスワードハッシュを引き出してきてpassword_verify関数でチェックするという認証方法になると思います。以前の質問も参照してください。 http://okwave.jp/qa/q8777622.html