Tach!

Stellt das nicht ein gewisses Sicherheitsrisiko dar, vom UA vorgegebene SessionIDs anzunehmen?
Für wen ergibt sich dadurch welches Risiko?
Für den Betreiber eines Servers mit sensiblen Daten. [Session-Fixation-Szenario].

Bist du ein Service-Betreiber mit sensiblen Daten? Hast du dann in deinem System die Möglichkeit der ID-Übergabe per URL offen gelassen? Wenn ja warum?

Wenn du eine gute Begründung hast: session_regenerate_id() wurde ja schon von Sven angesprochen existiert. Mach einen ID-Wechsel beim Login.

dedlfix.