Moin!

Die erste Frage ist: _warum_ duerfen sie nicht gesehen werden?

Da wird die Session-ID uebergeben und ich denke, das es nicht gut
waere.

Welche konkreten Probleme erwartest du?

Eine Session-ID ist, wenn man einen hinreichend vernünftigen Mechanismus wählt (also nicht Zahlen nur von 0 bis 9 nimmt, sondern einen _erheblich_ größeren Bereich, und darin zufällig auswählt), praktisch nicht zu erraten, wenn man sie nicht weiß, und deshalb auch kaum manipulierbar.

Aber wenn dich die Session-ID in der URL stört, warum setzt du dann kein Cookie mit der ID?

Die zweite Frage ist: _warum_ darf es kein Formular sein?

Wieso kein Formular? Ich will einen Link aktivieren
und keinen Button drücken müssen.

POST-Requests müssen zwingend mit einem Formular abgeschickt werden, einen anderen Mechnismus kennt kein Browser.

Den Submit-Button über einen Link per Javascript zu drücken wäre eine Alternative - aber willst du wirklich deine Website so unzugänglich machen? Keine Suchmaschine würde mehr deine Seiten aufrufen können, und zum Surfen bräuchte man Javascript eingeschaltet - oder du hast mehr oder weniger zwingend diese "wunderschönen" Formularbuttons auf deinen Seiten.

Unter dem Strich: Deine Idee ist blödsinnig. Ein POST-Formular schützt die Session-ID nicht vor Manipulation, ein Cookie auch nicht. Wenn du ein Problem mit manipulierten Session-IDs hast, solltest du an diesem Problem ansetzen, und es nicht optisch "verschönern" wollen.

- Sven Rautenberg