林と申します。 > session_regenerate_id() は menu.php では使用すべきではないということでしょうか? 使用すべきではない等と言う事は無いと思います。但し、UA や IP アドレスな ども含めて評価するのが一般的です。 HTTP はステートレスなので認証(承認)はリクエスト毎に行うのが間違いが少な くていいんじゃないでしょうか。