ЗлоЙ, Таскать сессии в URL - как минимум создавать самому себе SEO мусор. Используй сессии+куки, защищенность кода никак не зависит от метода авторизации, только от знаний и навыков.

И что, вы предлагаете идентификатор сессии в URL таскать? Или то, что он по умолчанию и так хранится в куках для кого-то новость? Вопрос бредовый, ответы - еще бредовее.