Hallo,

Muss der Benutzer Cookies akzeptieren?

nein.

Ich glaube, ich habe auch schon einmal gelesen, dass der Browser die SessionID an die URL hängt, wenn keine Cookies erlaubt werden!?

Der Brauser nicht, sondern in der Seite wird die Session-ID (SID) an die Links angehängt: http://mein_link.html?meineSession=3354dt2dt35fh35sr35dgr5413. Nach klicken des Links erscheint dieser Anhang natürlich auch in der Brauser-Adresszeile. Das ist von der Einstellung für session.use_trans_id in der php.ini abhängig. Außerdem hast Du, wenn Cookies abgelehnt werden immer die Konstante SID zur verfügung, die Du manuell überall anhängen kannst (Links, hidden-Formularfelder, Weiterleitungen etc.)

Bieten Sessions somit immer die sichere Möglichkeit, jeden Seitenaufruf einem Benutzer zuzuordnen?

wenn er die SID nicht manipuliert, im Grunde schon.

Gruß, Andreas