Así es .. si dices a PHP que lo haga así (propagación del SID en cookies) vía:

session.use_only_cookies = ON ..

Será PHP el que genere esa cookie con el SID en el ..-sólo el identificador de sesión- .. en ningún momento los datos que siguen permaneciendo en el servidor.

Cuando tu decides usar "sesiones" usas la función:
session_start()

Dicha función -por defecto- busca un "SID" válido propagado en el URL o la cookie que crea el mismo. Si no lo encuentra ahí se genera un SID nuevo (y archivo en el servidor en consecuencia).

El uso de "sesiones" es exactamente igual si propagas el SID en cookies o en el URL a nivel de acceso a las variables en sí .. lo único que cambia es que no es necesario que propagues el SID -a mano- en cada link/redireccionamiento que hagas hacia otro script para "continuar" con la sesión activa. Ya lo haras en la cookie (y lo hace PHP .. automáticamente si se lo indicas)

En la documentación oficial tienes información:
www.php.net/session

Y sobre temas de seguridad en sesiones (leelo bauhaus1975 también):
http://www.acros.si/papers/session_fixation.pdf
(el link está en la versión en ingles de la documentación oficial sobre sesiones. Está más completa que en castellano).


Un saludo,