とりあえずこれが今思いつく最良の使い方…なのだが。
どうなんだろう。アタック検証するのめんどくさい＾＾；

$url_len = strrpos($_SERVER['REQUEST_URI'],"/") + 1;
$url = substr($_SERVER['REQUEST_URI'],0,$url_len);
session_set_cookie_params('0', $url);
session_start();
$sname = session_name();

$entry = array();
if (!isset($_SESSION['pageID'])|| !isset($_POST["onetime"])|| $_SESSION['onetime'] !== $_POST["onetime"]){
	//セッション初期化
	$_SESSION = array();
    session_regenerate_id();
	$sname = session_name();
	setcookie($sname, session_id());
	
    $_SESSION['pageID'] = 1;
	$entry["onetime"] = $_SESSION['onetime'] = md5(rand()."id");

}

名前がonetimeってなってるけど全くワンタイムチケットじゃないよ！
$_SERVERのあたりがやっぱあぶないかな〜…直接書いた方がいいかな。
そもそもこれ効果あるのかわからなくなっている自分がいる。
あれだけ考えて作ったのにな…