[php] session flooding (wanneer cookies uit staan)

Euhm, een sessie blijft bestaan totdat je de browser afsluit of session_destroy() gebruikt. Het op f5 drukken heeft hier in prenciepe niets mee te maken.
Enkel de content van de pagina wordt dan opnieuw geladen, voor zover ik weet wordt gewoon dezelfde sessie gebruikt?

Als er geen sessie variabele wordt gevonden bij een request wordt een nieuwe sessie aangemaakt. Dus als iemand op F5 blijft rammen zonder sessie variabele mee te sturen (in een cookie of in de url) worden er steeds nieuwe sessies gemaakt.

Als je je sessies in een database opslaat kan je simpelweg een IP toevoegen in je table en elke keer als er een sessie gemaakt moet worden kijken hoeveel sessies er al open staan voor dit IP. Zijn dat er meer dan een maximum dat je ergens definieert, delete dan de oudste sessie, of sta simpelweg het maken van een nieuwe sessie niet toe (maar dit kan onhandig zijn voor de gebruiker natuurlijk, want die kan misschien zijn openstaande sessies niet verwijderen).

Zie P&W FAQ - De "quickstart"

We verwachten iets meer zelfwerkzaamheid dan alleen een vraagje dumpen in Programming & Webscripting