Moin!

schickt ein client eine kennung welche der server nicht vergeben hat, kann natürlich auch keine wiedererkennung erfolgen.

Der Sessionmechanismus arbeitet aber anders. Jede vom Client gesendete Session-ID, die keine unerlaubten Zeichen enthält, wird umgesetzt in einen Zugriff auf die zwischengespeicherte Session-Datei, welche dann u.U. neu angelegt wird und ein leeres $_SESSION zur Folge hat. Jeder weitere Zugriff mit dieser frei gewählten Session-ID hat Wiedererkennung zur Folge.

- Sven Rautenberg