Hallo,

Wenn kein Cookie vorhanden ist, die Session-ID in die Adresszeile Packen, das ist das PHP-Standardverhalten.
Dann kann doch die Session aber übernommen werden von einem Angreifer. Nicht?

das kommt drauf an, wen du als Angreifer betrachten willst.

Den unbedarften Nutzer vor dem Bildschirm? Der wird nicht seine eigene Session entführen - wozu?
Einen Nutzer, der kurze Zeit später den Platz vor dem Rechner übernimmt und in der Browser-Chronik noch URLs mit Session-ID findet? Wenn der "echte" Nutzer sich ordnungsgemäß abgemeldet hat und dessen Session damit serverseitig für ungültig erklärt wurde, hilft das nicht.
Sobald du aber jemanden meinst, der irgendwo auf der Übertragungsstrecke mithört, ist es egal. Für so einen Lauscher sind beide Varianten (URL-Parameter und Cookie) gleichermaßen leicht erkennbar, beide stehen mehr oder weniger offensichtlich im HTTP-Header.

So long,
 Martin