Das kann ich mir aber nur schwer vorstellen, denn die Session ID (SID) ist nicht für Nutzdaten da, sondern eine Metainformation, ein Schlüssel für die Sessiondatei.

Ich ahbe einfach Session mit Session ID verwechselt ;).

Und die Sessiondatei liegt typischerweise auf dem Host, der die Requests bedient.
Sie ist bei korrekter Einrichtung über HTTP nicht erreichbar und auch auf dem Server nur für den Virtual Host lesbar, dem sie gehört.

Und das heist genau? Bisher habe ich die Session einfach erstellt und frage dann zu gegebener Zeit ab, ob die SID in der URL mit der auf dem Server übereinstimmt.

Zweiteres ist leider bei vielen Providern noch nicht der Fall.
Bei manchen kann man über shared Hosts noch die Sessiondateien der anderen User lesen oder sogar verändern. Man weiß davon aber nocb lange nicht, zu welcher Domain sie gehören.

Ich hoffe, ich habe dich nicht missverstanden: Das Game läuft auf dem Root von nem bekannten, der mir freundlicherweise für den Testlauf und für die Zeit der Programmierung Serverplatz zur verfügung stellt. Das ist also kein angemieteter Webspace, wenn Du das meintest.