Wie generierst du die Session-id's? Wenn du einen zu einfachen Algorythmus benutzt, ist das ungünstig, weil dann der Schutzt gering ist, weil er zu leicht erraten werden kann.

z.B.:
do { $user_id = pack('c*',map(rand(25)+97,1..20)); } while(-e "$tempdir/$user_id");

Dann rate mal... ;P

IMHO so alleine ungünstig, da du so nicht so gut schauen kannst, wie alt die Session Id ist. Ich würde eher in einer Datei alle Session Id's notieren, und dann diese Datei regelmäßig nach ungültigen, weil zu alten, Session Ids durchsuchen. Für die einzelnen Sessions kannst du dann immer noch einzelne Dateien oder einen Datenbank benutzten.

Ack... geschmackssache...

saludos
C14L