Yo propago el SID en cookies y aviso que mi aplicación requiere de permisos para usar cookies. Pero lo aviso .. El que tenga "paranoias" con cookies .. no podrá usar mis aplicaciones lo tengo presente, pero es la forma más transparente (cara a tu programación) y segura (no viaja el SID en el URL y PHP gestiona que HOST crea esa cookie como una cookie normal) de usar sesiones.

La misma documentación de PHP lo menciona así. (en un php.ini puedes ver ese comentario sobre el uso de session.use_trans_sid y sus problemas).

Un saludo,