Hello Mike,

Gut, für mich persönlich ist das natürlich leicht zu verhindern indem ich ein Testcookie vorher abfrage

das geht z.B. per Weiterleitungs-Header auf eine URL mit Parameter. Achtung, ohne ein zusätzliches Merkmal gibt es schnell einen zirkulären Verlauf. So ähnlich macht das PHP ja selber auch, nur dass die dann als "Trans SID" gleich die Session-ID anhängen.

session.save_path solltest Du auf alle Fälle in ein Verzeichnis legen, in dem nur Dein Account  lesen kann, wenn Du auf einem shared Host arbeitest. Was sagt denn Dein php-info darüber aus?

Liebe Grüße aus dem Cyberspace

Tom vom Berg