Ist es sinnvoll für Session-Sitzungen die Übergabe der SID per URL zu verbieten und nur per Cookie zu erlauben?

Nein.

Ich hatte mich mal informiert, das dies vor fremder Übernahme der Session  schützt(natürlich in Verbindung weiterer Maßnahmen wie SID neu aufbaun, SANITY_KEY usw)

Was würdet ihr empfehlen?

Wenn kein Cookie vorhanden ist, die Session-ID in die Adresszeile Packen, das ist das PHP-Standardverhalten.

Die Session-ID kann sich während der Session problemlos bei jedem Request ändern, session_regenerate_id() eignet sich hierfür z.B.

Es ist ein Irrglaube, dass die Session-ID immer gleiche bleiben muss.