DAS ist neu für mich und leuchtet mir spontan ein. Kann ich also direkt nach session_start() ein session_regenerate_id() notieren, damit bei jedem Request die Session-ID erneuert wird? Eingeloggte User bekommen so ihre alte ID ersetzt und neue User bekommen über session_start() eine erste (Vorab-ID), und mit session_regenerate_id() eine erneuerte ID zugewiesen. Oder habe ich da etwas missverstanden?

Ich glaube ich hab dich grade nicht verstanden :)