Hallo.

Wie fälschungssicher ist denn diese UID dann?

Naja, also md5-Verschlüsselung liefert eine 30-32 Zeichenkette z.B. 7955d68d66a6a903770c59787d721658. Wenn Du jetzt also mal alle Buchstaben nimmst (Groß+Klein), die Ziffern noch, und dann die Anzahl der Möglichkeiten ausrechnest (gaanz groß 60^30) dann wünsche ich viel Spaß beim durchprobieren gültiger Lösungen.
Im Zweifel kann man auch noch die ID an die IP binden, damit wäre der Zugriff nur noch seeehr wenigen Leuten (eben die mit selber IP-Adresse) überhaupt mögliuch. Und dass die dann auch noch die ID kennen...

Ich kann mir das noch nicht so richtig vorstellen, wie PHP das überprüft.

Die Prüfung kannst Du ja auch per Abgleich mit einer Datenbank machen, in der Du derzeit gestartete Sessions loggst und folglich gültige ID drinstehen hast.

Grüße aus Würzburg
Julian