wieso verwendest du keine cookies ??
session-handling sollte höchstens als fallback eingesetzt werden. aber auch nicht unbedingt notwendig. wenn cookies deaktiviert gibts halt nix.

und manipulationen an der url erkennst du, indem du deine parameter auf gültigkeit überprüfst bevor du irgendwas weiteres damit anstellst. wichtig dabei auch das escapen von werten für die datenbank.