Es gibt "auf dem Server" keine Session-ID, die du mit der des Clients vergleichen könntest. Jedenfalls nicht sinnvoll. Denn der Server nimmt exakt die Session-ID, die der Client ihm liefert. Denn das ist das eindeutige Identifikationsmerkmal, an dem ein Client wiedererkannt wird.

Und wie verhindert man dann manipulation durch gefälschte, erratene oder was auch immer SIDs?