Meine Sessionroutine erzeugt beim ersten Aufruf der Seite eine 30 stellige zufällige Zeichen / Zahlenfolge, die dann entweder als Cookie oder als Parameter durchgeschliffen wird. Die Session wird in einer String Liste abgespeichert (mit Personennummer, Session und virtuellem Passwort... Den Kram brauch ich intern öfter) und beim Aufruf der Seite einfach verglichen. Man könnte noch die IP Adresse oder User Agent mit in die Liste schreiben, damit nich jeder einfach an der Session rummanipulieren kann.