■何が問題なのか
たとえば、ログインしたユーザーがAさんがマイページにいるとします。そうすると、URLにはセッションがついています。そのセッションつきのURLを友人Bさんの携帯電話に送信し、BさんがそのURLでアクセスすると、Aさんのマイページが表示されてしまう。

■解決策
a.. モバゲー式でやります
a.. 対策１　履歴書の編集画面等への他人に編集されてはこまるページは個体識別番号を聞き、その個体識別番号がセッションIDが保持するユーザーIDとマッチするか確認する。
b.. 対策２　セッション生成時にユーザーエージェント情報を取得し、セッション情報と結びつけます。これで、機種が違えばセッションハイジャックはありえません。
対策１を実装することにより、他人に編集されてはまずいページをガードします。

対策２を実装することにより、「セッションハイジャックできないかも？？」と思わせることができます。