Moin!

also meinst du, dass ich besser ein cookie verwende als eine session?!

Nein. Eine Session _ist_ im Prinzip ein Cookie - jedenfalls wird zur Realisierung gerne ein Cookie verwendet, die Alternative in PHP ist eben, dass die Session-ID nicht per Cookie, sondern per URL-Parameter weitergegeben wird. Das hat aber absolut nichts mit der Sicherheit zu tun, das eine ist genauso sicher oder unsicher wie das andere, weil beide Angaben vom Client gefälscht bzw. verändert werden können.

Wie gesagt: Wenn du die Session-ID aus der URL weghaben willst, stell PHP so ein, dass er die Session primär mit einem Cookie zu realisieren versucht. Wenn das nicht geht, kannst du das Session-Cookie möglicherweise künstlich setzen mit set_cookie(), und außerdem könntest du auch alles so lassen, wie es ist. Es ist wirklich nur reine Kosmetik. Wenn dein Session-Mechanismus dahinter ordentlich funktioniert, kommt keiner ohne Genehmigung ran.

- Sven Rautenberg