Matsumoto @ Sp と申します。 > 1.改ざんを防ぐことは可能ですか? telnetでport 80にアクセスしてみれば分かる通り、 Cookieは任意の値をクライアント側で設定可能です。 よって基本的には不可能です。 > 2.PHPSESSID の値の妥当性をチェックすることは可能ですか? 可能です 2をメインに設計するのが良いですね。セッションIDを自分で 作成し、正しいセッションIDの場合のみ処理を継続するという形が いいと思います。結果として改竄を防げると思います。 32桁の半角英数のみというのは妥当性チェックとしては弱いと思いま すので、もう少し強固な妥当性チェックが良いでしょう。セッション IDは自分で作成し、session_id($id)で独自に設定する必要があると 思います。