Da ist keine große Verarbeitungslogik dahinter. Wenn die Session ID per GET übergeben wird, ist sie sehr leicht zu verändern. Trägt da jetzt jemand {ä&123$%}1212 ein, gibts einen Fehler, dass ungültige Zeichen enthalten sind. Natürlich kann auch die Session ID per POST oder Cookie verändert werden, ist aber eben nicht so einfach.
ir ist bis jetzt folgender Lösungsweg eingefallen: $_REQUEST['sid'] per preg_match prüfen, stimmt was nicht wird $_REQUEST['sid'] = '' gesetzt. Ist das eine gute Lösung?

Gruß, Sam