oha. Das sind viele Fragen...

Ich beantworte nur mal die eine:

Wieso Cookie?

Naja. Irgendwo sollte die Session ID beim Client ja gespeichert sein. Es geht auch ohne Cookies, aber dann musst du die SID bei jedem Link/Aufruf mit uebergeben, damit der Server weiss welche Session zum Client gehoert. Das ist natuerlich nicht unbedingt die sicherste Sache der Welt.