PHPのセッションID管理がいまひとつであることは
http://blog.ohgaki.net/index.php/yohgaki/2005/12/24/strict_sessioncric
にも書きました。PHP 5.1.2用のパッチですがsqliteと一緒にコンパイルするとsqlite用のvalidationパッチが含まれていないのでビルドできませんでした。
MomongaLinux用にsqliteも一緒にビルドできるパッチを作成したのでWikiに載せました。もちろんSQLiteをセッションID管理に使用しても厳格なセッションID管理になります。必要な方は是非どうぞ。
http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession
追記:
厳格なセッションID管理を行うパッチを適用したPHPをインストールした後、php.iniに
session.use_strict_mode = 1
を追加してください。これを追加しないと厳格なセッションID管理になりません。