denn wenn jemand wichtige variablen in der adressleiste stehen hat

Zum Beispiel, wenn jemand da seine Sessionnummer stehen hat. Kann die denn unter normalen Umständen in den referrer (REFERER) gelangen?

Sicher. Deshalb verfallen Sessions ja auch automatisch, wenn sie für eine bestimmte Zeit nicht benutzt wurden. Es nützt Otto Normalserver also herzlich wenig, wenn er zwei Tage alte Session-IDs ausprobiert.
Allerdings könnten sich neugierige Menschen (bzw. ihre Server) natürlich auch direkt auf die Lauer legen, alle paar Minuten das Protokoll durchforsten und gefundene Sessions am Leben erhalten, bis der Herr und Meister Zeit zum Schnüffeln hat..

Gruß,
  soenk.e