Hi,

Nur was ist im Fall, wenn der User Cookies deaktiviert hat ? Sind dann Sessions nicht besser ?

Dann koennen sie in so fern "besser" sein, dass sie es etwas einfacher fuer dich machen, weil PHP einen Automatismus hat, um das zu "erkennen", und sich dann selbststaendig um die Uebergabe der SID per GET/POST zu kuemmern.
Wobei gerade die Uebergabe per GET den Session-"Diebstahl" ggf. etwas einfacher fuer Angreifer macht.

MfG ChrisB