De hecho el problema de hacer "session hijacking" no es problema en si de las sesiones, por lo que si tu usas session_regenerate_id() no ayudas mucho, el problema viene más de fondo al permitir que tus paginas sean vulnerables a ataques XSS.

Si lees al respecto de ellas puedes ver que tienes que emplear muchas cosas para prevenirlas, tanto en el area de PHP como a la hora de dibujar tu pagina y usar Javascript.

Saludos.