El uso de una cookie o no está configurado por estas opciones de PHP:
Si el primero se establece, se utilizarán las cookies si es posible.
PHP debería detectar si las cookies están habilitadas o no, y usarlas solo si son compatibles con el cliente.
Para habilitar aprobación de la sesión de identificación por GET en lugar de las cookies, puede que tenga que activar session.use_trans_sid, que está desactivado por defecto (Lo que significa que, por defaut, ID de sesión sólo se pasa por las galletas - Nunca por GET).
Pero tenga en cuenta que, con esta opción activada, PHP pasará la identificación de la sesión por GET al menos para la primera página de cada usuario de su sitio ... ya que no tendrán la cookie al principio, y la única forma de verificar si admiten cookies es estableciendo una, e intentando leerla en la página siguiente.
Y los usuarios que no admite cookies, incluyendo los motores de búsqueda que probablemente diría, tendrá ese ID de sesión - y que no es agradable :-(
Y, también puede ser que desee tomar una mira session.name para establecer el nombre de la clave (juego de a "token" en lugar de "PHPSESSID", me refiero)
para más detalles, se puede echar un vistazo a la sección Session Handling del manual :-)
No debe poner la ID de sesión en variables GET, es un riesgo de seguridad. No hay un navegador relevante que no admita cookies. – stefanw
stefanw - es específicamente para un cliente sin cookies, como se indica. – Sledge