ドカ雪の雪かきやら娘が寝てくれないやらで、何もできていません。
認証については、大西さんのauthを参考にさせてもらってます。
（というかパクリに近いかも・・・）
http://www.key-p.com/ohnishi/article.php?id=18
あとはPEARのAuthと。

「PHPサイバーテロの技法―攻撃と防御の実際」
読んでから、うっすらとセキュリティとかも考えるようにしてますが、
認証後、セッションキーを固定でログイン済み状態を保存しても問題ないんでしょうかね？