※自分なりのまとめです。あしからず。

１．クッキー使用を前提にする。

　ini_set("session.use_trans_sid", "0");
　ini_set("session.use_cookies", "1");
　ini_set("session.use_only_cookies", "1");
　ini_set("session.auto_start", "0");
　session_start();

　サーバ環境に依存しないことを目的にini_setにしてみました。

２．セッション鍵の定期的な変更

　session_start();
　session_regenerate_id(true); //PHP5.1.0以降で対応

３．プロテクターを入れる
http://www.peak.ne.jp/support/phpcyber/

４．携帯対応
後で。。。