Definiere doch mal ein Beispiel von "cheaten". Dann können wir dir aufdröseln, warum das so extrem schwierig zu unterbinden ist - vollkommen unabhängig davon, ob du die Session-ID per URL oder per Cookie weiterreichst.

Ihr müsst Euch das so vorstellen: Beim Login-Vorgang werden alle spielrelevanten Daten in die SID geschrieben, damit sie von überall ohne zusätzliche Zugriffe verfügbar sind. Sobald dann was geändert wird (und da bin ich mir nicht sicher, wie es am besten ist), werden die Daten dann entweder sofort in meinen Speicher zurückgeschrieben oder erst dann, wenn die Session abläuft, bzw. wenn man sich ausloggt. Letzteres hat auf den Fall einen Zugriffsbonus, da der Server entlastet wird, jedoch weiss ich nicht, ob ich die Daten zwanghaft beim beenden zurückschreiben kann, wenn der User z.B. einfach ohne Ausloggen die Seite zu macht.

Ich will eben jetzt verhindern, dass der User die Daten irgendwie manipulieren kann, solange selbige auf seinem Rechner sind und daher am besten die kompletten Daten auf dem Server lassen, wo der User keinen Zugriff hat, dass der praktisch nur Formulare sehen kann, die dann vom Server auf Echtheit überprüft werden können.