にした。セッション ID は URL にのせてしまう方式で。 REMOTE_ADDR のチェックを毎回行う。同一 IP からアクセスしている場合は ID が盗めてしまうので完全ではないがとりあえずはこれで。もっといい方法があれば後で変更したい。
テストが不十分だがいちおうユーザー登録は完成。