Dann hast du etwas falsch verstanden. Im Session-Cookie wird (per default) nur die Session-ID gespeichert. Die Daten werden auf dem Server gespeichert. Siehe dazu auch das Kapitel zu Sessions im PHP Manual.

Wie mache ich es denn dann am besten, dass es am manipulationssichersten ist und dass der Nutzer keine Cookies braucht? Oder ist es mit Cookies sicherer als mit der SID in der URL? Auf jden Fall will ich eben das Cheaten unterbinden.