Sobald ein Benutzer aber keine Cookies akzeptiert, ist die SID wieder an den URLs dran. Sie einfach nur wegzulassen, ist also nur eine Scheinlösung.

PHP hängt die ID nicht automatisch an die URL, wenn man es nicht will.

Ja, und dann?

Dann funktioniert das Angebot nicht, bumms, fertig.

Denkbar ist aber auch, dass ein Systemadministrator in einem Firmennetz die Annahme von Cookies verbietet (wie realistisch das ist, weiß ich nicht). Wenn dann ein Mitarbeiter auf einer Seite landet, auf der er eine Anfrage starten/eine Aufgabe erledigen soll, und dort wegen nicht akzeptierter Cookies nicht zurande kommt, ist das auch nicht das Wahre.

Sicherlich ist das für den Anbieter nicht die Idealsituation, aber bei aller Rücksicht muss man auch mal eine Grenze setzen und, wie in diesem Fall, dem Kunden den Fehler anlassten _und_ dessen Lösung überlassen.
Wenn Bauer Hein direkt vom Misthaufenumschichten in ein Feinkostgeschäft stiefelt, wird ihm auch freundlich, aber bestimmt deutlich gemacht, dass das so nicht geht, er aber sehr gerne in sauberem Zustand wiederkommen darf.

Diese Lösung halte ich für insgesamt unproblematischer als das Rumgepfusche mit der ID in der URL, wobei ich aber zugegeben muss, dass URL-Parameter zur Not auch dann noch akzeptabel wären, wenn die Sitzung aus einem Formular heraus gestartet wird, also zumindest vor Suchmaschinenrobots sicher ist.