1- Avevo pensato di rigenerare il session_id ad ogni accesso di pagine in modo da renderlo difficile da copiare.
non lo devi fare ! ti basta un SID


2- Come procedere con un utente che sceglie l'accesso persistente? In questo caso si rende necessario l'utilizzo dei Cookies... Solo che non saprei come procedere.
passa il SID per ogni pagina tramite il URL index2.php?sid=w87587ewr8q7523108df8145&il_Resti_d er_query_string


Avevo pensato di rigenerare appunto il session_id e storarlo ogni volta nel cookie e fare l'accesso con l'associazione userid - last_session_id anzichè userid - password, in questo modo sarebbe come se ad ogni accesso venisse rigenerata una pseudo-password casuale.
Questo check verrebbe effettuato solo una volta, poi il resto del browsing verrebbe gestito dalle sessioni...
per regolare il cookies del session http://www.php.net/ini_set


ciao