le sessioni mi pare di ricordare che le hai implementate tu no?

allora può essere normale.. se ti basi solo sul sid che arriva in get è perfettamente normale... penso che le sessioni native di PHP così come le sessioni di questo forum ad esempio, si basino anche sull'ip di provenienza.... proprio per evitare che con un link si passi per chi non si è... la sessione ha una durata breve e l'ip sarà lo stesso per tutta la sessione [altrimenti non sarebbe una sessione ].. indi per cui dovresti associare al sid l'ip dell'utente.. e quando controlli il sid dovresti controllare anche l'ip e non considerare la sessione se l'ip è diverso..

tutto questo... lo CREDO... perchè non sono certo di nulla.. ma a rigor di logica non può essere altro