セッション ID が推測可能な脆弱性の件 - あじゃぱー(情報元のブックマーク数)
脆弱性を指摘されて真摯に対応してその結果を共有した素晴らしい例。
$sid が生成されたセッションキーですね。
http://d.hatena.ne.jp/minesouta/20081213/secure_session
md5_hex に渡しているは REMOTE_ADDR, REMOTE_PORT, time(), HTTP_USER_AGENT の値です。どれもランダムな要素がありません。time() の値を的中させるのは大変かもしれませんが不可能ではないのでしょう。
確かに書かないというのも一つの手ですね。
ランダムな値2つと秘密鍵で生成してますね。
http://d.hatena.ne.jp/minesouta/20081213/secure_session
こういう部分は自分で書かずに実績のあるコードを流用したほうが無難な気がします。