Hallo,
vielleicht schaust Du Dir selber mal ein paar referrer (HTTP_REFERER) an?
HTTP_REFERER http://192.168.101.99/body.php?tgt=26&par=1
Wenn jetzt durch den trans_sid-Modus von PHP für Sessions die Session-ID da hinten dran hängt, hat die jeder normale Web-Serverbetreiber zur Verfügung und kann sie auch nutzen.
Das ist der Grund, warum ich bei Sessions grundsätzlich für Cookies oder für Auth-Credentials bin. Die stehen zwar auch im Datenstrom von Servern, durch die mein rechtmäßiger Request geroutet wird, aber nicht im Zieldatenpaket an einen fremden Server. Die URi ist nicht dafür gedacht, "geheime" Information weriterzutragen, sondern eben nur öffentliche Request-Parameter zu übertragen.
Liebe Grüße aus http://www.braunschweig.de
Tom
Intelligenz ist die Fähigkeit, aus Fehlern Anderer zu lernen und Mut die, eigene zu machen.