mixiを見てたらセッション管理をもっとまともにやらないとダメだなと感じてきた。
ログインを保存している場合でもAmazonとかはてなみたいに二段階に分けた方がいいな。
ログイン状態を保存しておきつつ、重要な画面に移る場合はパスワード入力を要求するような。

これってPHPでどうやって実装したらいいんだろう。
Cookieを自分で発行するのはできれば避けたいが・・。
任意の時点で session_set_cookie_params() を使ってlifetimeを0にしつつ session_regenerate_id() で古いセッションを残したまま新しいセッションを開始すればいいのかな？
前の例*1もあるのでちゃんとテストして確認せねば。