Чем вообщем поможет регенерация нового идентификатора сессии в каждом запросе?
Например, если взломщик получит идентификатор сессии и попробует выдать себя за другого(если успеет). То, у него будет тот же доступ к сессии, что и у легального пользователя. И новый регенерированный идентификатор сессии также будет заноситься ему в куки и он также сможет делать сколько запросов, сколько ему угодно. Более того, когда взломщик регенерирует новый идентификатор, то легальный пользователь уже не сможет зайти под старым идентификатором, т. к. его на самом-то деле его и уже и нет(ведь взломщик уже регенерировал новый идентификатор, выдавая себя за другого).
