Dabei steht in jemdem PHP-Tutorial dass man SessionIDs mit Cookies lösen soll.

Solange session.use_trans_sid = 0 gesetzt ist, kein Problem. Steht es auf 1 und hat der Browser Cookies abgeschaltet, wechselt PHP auf Session ID in POST-/GET-Requests. Sprich: die Session ID gelangt automatisch als Variable in URLs oder Formulare.

Sicherheitshalber kann man session.referer_check benutzen, um Teile der URL anzugeben, die im Referer auftauchen müssen. Tun sie es nicht, wird die Session ID invalid. Das allerdings kann auch Benutzer ausschließen, die zwischendurch mal über einen Querverweis auf eine andere Website kamen und sich wieder zurückklicken. Auch wenn die Session ID via Cookie übermittelt wurde und damit valid ist, wäre sie es jetzt nicht mehr, weil der Referer nicht der gewünschte ist.

Am besten ist es noch, bei Auftauchen einer Session ID in POST-/GET-Requests den HTTP-Referer mit einer eigenen Funktion zu prüfen.

Siehe auch Kommentare in http://www.php.net/manual/de/ref.session.php