Und wie willst Du verhindern, daß ein manipulierter Aufruf einfach das Cookie ausliest?

Ich sehe es als unsicherer an, wenn ein Nutzer in einem Aufruf à la test.php?variable=dings einfach den "dings"-Teil verändern kann, als wenn das Betreffende in einem Cookie steht. Natürlich kann man auch Cookies faken, aber das ist eher unwahrscheinlich.
Das ein manipulierter "Aufruf" Cookie-Infos ausliest, kann ich eher ausschließen, da ich hoffentlich sauber genug gecodet habe, um zu verhindern, dass Cookie-Infos im Klartext ausgegeben werden. Natürlich habe ich keine Handhabe dagegen, dass Cookies eines bestimmten Users durch irgendwelche manipulierte Webseiten oder Trojaner ausgelesen werden, aber das ist ein anderes Problem.

Abgesehen davon, was Du von meiner Lösung hälst: Hast Du Ahnung, ob per AJAX aufgerufene PHP-Skripte prinzipiell Cookies auslesen können?