В любом случае, лучше хранить сессию в куках, чем в URL\'e. В ссылках передавать сессию - идея очень плохая. Проблем с куками не вижу. Можно много как их обезопасить - привязка к ip, хэширование на базе ip + соль, например. Да мало ли еще как.