Hi!

Die Benutzer werden zwar angehalten, sich nach jeder Session auszuloggen, um die Session ordnungsgemäß zu beenden, allerdings kann man da natürlich nicht sicher sein, dass es auch jeder macht.

Aber die Session hat nur eine bestimmte Gültigkeit (und die kannst du festlegen). Nach vielleicht 3 Minuten ist die Session halt abgelaufen und der User nicht mehr eingeloggt. User, die sich nicht ausloggen sind also nicht so das große Problem.
Damit erledigt sich dann auch das andere Problem: Wenn keine Cookies genutzt werden, wird die Session-ID halt per URL weitergereicht. Sollte ein User versehentlich einen Link mit Session-ID posten, dann ist diese halt wahrscheinlich auch bereits abgelaufen, wenn jemand anders den Link benutzt...
Aber sonst gibt es da nicht viele Möglichkeiten: Die Session-ID muß halt weitergereicht werden und da bleiben dir nur Cookies, GET oder POST oder eine Kombination aus diesen dreien.

Gruß, rob