Перехват сеанса PHP

У пользователя нет доступа к $_SESSION['id']. Он не может изменять переменную, хранящуюся на вашем сервере (см. документ session).

session_regenerate_id() имеет другое назначение. Он сбрасывает SID файла cookie. Это дескриптор, который различает пользователей и сеансы. Это имеет смысл использовать только в том случае, если у вас есть вторичный идентификатор (IP-адрес или строка пользовательского агента) для проверки. Его основная цель - предотвратить устаревшие или пересекающиеся сеансы. Опять же, смотрите инструкцию.

На вашем месте у меня была бы таблица в вашей базе данных, в которой хранятся user_id и session_hash. Возможно также date_expires. Затем, когда пользователь входит в систему, вы создаете хэш на основе его идентификатора и, возможно, случайной соли, сохраняете его в базе данных, а также в переменной сеанса. Таким образом, если они изменят это значение на своей стороне, вероятность того, что они совпадут с каким-либо другим сохраненным значением в вашей базе данных, очень мала. Наряду с этим, если пользователь выполняет какие-либо операции со своей учетной записью, вы просто проверяете таблицу базы данных на наличие своего хэша, чтобы получить его настоящий идентификатор, а затем выполняете операцию, как обычно.

Одним из вариантов было бы хэшировать его, а затем использовать тот же хэш в вашей базе данных.

Пример:

$_SESSION['id'] = md5($user_id);

$query = "SELECT * from database_table where md5(database_table.user_id) = " . $_SESSION['id'];