Stellt das nicht ein gewisses Sicherheitsrisiko dar, vom UA vorgegebene SessionIDs anzunehmen?

Direkt auf die Frage bezogen: Nein. Nur auf die Länge.

Genau, je länger die SID ist, desto schwerer ist sie zu erraten. In meinem Perl-Framework prüfe ich die Länge auf \w{32}. In der mir vorliegenden PHP-Version wird nur auf "valid characters are a-z, A-Z, 0-9 and '-,'" geprüft, nicht jedoch die Länge der Zeichenkette, was mich etwas verwundert hat; möglicherweise ist das in neueren PHP-Versionen anders, vielleicht weiß das jemand.

Hotti