Tach!

Stellt das nicht ein gewisses Sicherheitsrisiko dar, vom UA vorgegebene SessionIDs anzunehmen?
Direkt auf die Frage bezogen: Nein. Nur auf die Länge.
Genau, je länger die SID ist, desto schwerer ist sie zu erraten.

Und wer hat einen Nachteil davon, dass jemand seine Session-ID mutwillig erratbar macht? Noch jemand anderes als derjenige selbst? Der könnte auch seine Zugangsdaten weitergeben, was aufs Gleiche rauskommt und nicht mal vom Betreiber verhindert werden kann.

In meinem Perl-Framework prüfe ich die Länge auf \w{32}.

Hilft das gegen leicht erratbare Werte wie 32×X?

In der mir vorliegenden PHP-Version wird nur auf "valid characters are a-z, A-Z, 0-9 and '-,'" geprüft, nicht jedoch die Länge der Zeichenkette, was mich etwas verwundert hat; möglicherweise ist das in neueren PHP-Versionen anders, vielleicht weiß das jemand.

Das offizielle ChangeLog kennt alle Änderungen.

dedlfix.