Die Session-ID in der URL mitzuschleifen ist eine ganze schlechte Idee, das ebnet alle Wege für Session-Hijacking. Der Nutzer muss nur einmal den Link aus der Adresszeile kopieren und in einem Forum teilen und schon nehmen alle Nutzer, die dem Link folgen, an der selben Session teil.

Daran habe ich bisher nicht gedacht. Spontan würde mir aber als weg einfallen, User Agent und Remote Address in der Session zu speichern und bei jedem Request zu vergleichen, wenn es sich unterscheidet, wird sofort eine neue Session erzeugt, bei dem man nicht "eingeloggt" ist, bevor das Request bearbeitet wird.
Dann wäre man bei der Verarbeitung nicht mehr eingeloggt und bekäme ein Login-Formular zu Gesicht oder einen 403er.

Wobei trotzdem ein Restrisiko bleiben würde, dass wenn man die gleiche Remote-Adrese (z.B. durch einen Proxy) und den gleichen UA hat.

MfG
bubble