Para evitar esos problemas de seguridad .. propaga el SID en cookies (forzando a PHP a que lo haga así sólo y nada más). Esto tiene sus ventajas de seguridad .. y sus desventajas a nivel que necesitas que tus "clientes" (navegadores) acepten cookies.

Puedes leer este documento sobre seguridad de sesiones:
http://www.acros.si/papers/session_fixation.pdf
(creo que esto ya te lo recomendé en otra ocasión)

Por lo demás .. desde PHP 4.3.2 si mal no recuerdo tienes la función:
session_regenerate_id()

más info:
http://www.php.net/manual/en/ref.session.php



Un saludo,