>>441
>セッション変数はセッションIDと一対一なので不要

言われて気づきました。
たしかにおっしゃるとおりですね。
ありがとうございます。

if (empty($_SESSION['authenticated']))
これだけで認証を通すことは特に問題ないでしょうか。
セッション自体をのっとられることがない限り、ということだと思いますが、
いままでPerlでやっていたときは、ページアクセスごとにわざわざパラメータ
にもたせているID、暗号化パスワードをDBと照合させていたので。。

初歩的で申し訳ないです。