Więc mam skrypt na logowanie który hashuje hasło i czas wrzuca hasha do bazy obok nazwy użytkownika i przenosi mnie na stronę o adresie:

[PHP] pobierz, plaintext 
<?php
index.php?hash=".$hash."
?>
[PHP] pobierz, plaintext 

Na tej stronie includuję plik "db" który jest nagłówkiem strony. Tam sprawdzam ifem czy zostało wysłane $_GET['hash']. Jeśli tak to dalej sprawdzam czy w mojej bazie danych istnieje rekord który ma hash taki sam jak ten pobrany z paska adresu. Jeśli znowu wszystko się zgadza to zmieniam WSZYSTKIE LINKI na stronie (zarówno na tej includowanej jak i tej która wywołuuje plik db) z

[HTML] pobierz, plaintext 
adres
[HTML] pobierz, plaintext 

na

[HTML] pobierz, plaintext 
adres?hash=".$hash."
[HTML] pobierz, plaintext 

tak żeby użytkownik nadal był zalogowany. Czemu robię to w ten sposób? A no dlatego że już wcześniej wysyłałem ciasteczka czyli sesje odpadają... A nawet gdyby nie to i tak zamiana linków byłaby potrzebna. Oczywiście piszę to tutaj ponieważ nie chcę sprawdzaćprzy każdym linku czy ktoś jest zalogowany..

Jak to odpadają? Ciasteczek możesz przecież wysłać kilka. :]

Naprawdę nie rozumiem, dlaczego wynajdujesz koło na nowo. Przecież możesz wrzucić hasha do sesji. No chyba, że robisz zabezpieczenie przed CSRF, ale wtedy musiałbyś wciskać losowy i za każdym razem inny token.