Und was ist mit HTML- und Javascript-Injection, oder allgemein gesagt, alles was im Browser ausgeführt werden kann?
Was soll damit sein?

Die Session-ID ist ein vom Anwender änderbarer Wert.

Die die vom Nutzer übermittelt wird auf jeden Fall. Warum sollte man aber eine unbekannte Session-ID benutzen um damit eine neue Session anzulegen? Wer macht so was und warum macht php so was, wenn man es läßt? Kurze Rede noch kürzerer Sinn, Du hast Recht (ich weiß schon warum ich etwas lieber von Grund auf selber mache).

Wenn man den einfach so ins HTML stellt, dann landet das, was da jemand als ID angegeben hat, im HTML. Oder ist das deiner Meinung/deines Wissen nach anders?

Bei Eingaben auf jeden Fall, auch könnte schädlicher Code in einer zufällig erzeugten Session-ID stehen (nehme ich an). Die Ausgabe muß also in jedem Fall behandelt werden.

Ich hatte auf diesem Weg (ich meine über die dann tatsächlich verwendete ID) einen geziehlten Angriff nur nicht als möglich erwartet und die Frage war ja nach session-spezifischen gezielten Angriffen und nicht nach allgemeinen Sicherheitsaspekten.