Moin!

ich gehe doch richtig in der Annahme, dass die Session ID in PHP nicht von aussen manipuliert werden kann, oder ?

Falsch. PHP nimmt grundsätzlich alles entgegen, was ein String ist und als Session-ID brauchbar scheint. Es ist nicht notwendig, dass die Session-ID die Hex-Darstellung des 128-Bit-MD5-Wertes ist, auch Session-IDs wie "hasilein" funktionieren.

Insofern solltest du darauf hinarbeiten, dass der externe Programmaufruf sowohl "eigenartige" Session-IDs verarbeitet - im gegenteiligen Fall müßtest du an dieser Stelle filtern - und dass es zu keiner Code-Injection kommen kann (passendes Escaping des Strings notwendig - das aber sowieso unabhängig von der möglichen Session-ID).

- Sven Rautenberg