Wenn kein Cookie vorhanden ist, die Session-ID in die Adresszeile Packen, das ist das PHP-Standardverhalten.

Dann kann doch die Session aber übernommen werden von einem Angreifer. Nicht?

Ja kann sie, aber wenn sich mit jedem Request die ID ändert, hat er dazu genau 1x die Chance - bis sie sich wieder ändert.

Zusätzlich kannst du natürlich auch Prüfen ob sich der HTTP_USER_AGENT ändert oder ob die REMOTE_ADDR des Benutzers dieselbe ist wie beim Request zuvor.

Wenn nicht, wird die Session zerstört.

Einen 100%igen Schutz gibt es aber nicht - da musst du schon zu anderen Methoden greifen. Verschlüsselte oder getunnelte Verbindungen z.B.

mit dem Verbot der Übergabe der SID per URL umgehe ich dieses Sicherheitsproblem doch aber. Oder?

Nein, wieso? Was hindert einen Angreifer, dein Cookie zu klauen?

Siehe meinen Post. Mit "SID neu aufbaun" war genau diese Funktionalität gemeint.

Und ich habe dir die dafür zuständige funktion genannt.