Dunque: nell'intento di migliorare la sicurezza delle sessioni ho trovato quel semplice codice, che se trova una sessione con un id arbitrario, lo rimpiazza cancellando i dati, e mettendo un flag che dice che l'id è legittimo.
Ora, dando per presupposto che è un buon trucchetto (confermatemelo voi), come si vede dal codice, l'id viene rigenerato COMUNQUE ad ogni pagina, per cui, se in un primo momento i dati di sessione finti vengono cancellati, dopo è ovvio che quelli nuovi, autentici, rimangono, dovendo solo aggiornarsi l'id di sessione, per evitare che possa essere rubato.

Se questo è giusto ed è utile, passiamo alla parte tecnica: non funziona una cippa. se io scrivo una variabile di sessione nella stessa pagina dove rigenero l'id, nella pagina dopo quella variabile non viene scritta, mentre viene scritta se commento la riga con la rigenerazione, ovvero se mantengo lo stesso id.

C'è qualcosa che mi sfugge?