Bueno... ahora mismo no puedo adjuntar mas codigo (no estoy en casa),
pero q recuerde tengo (mas o menos, mas tarde lo apuro):
En el index.php tengo el formulario que envia los datos via POST a auth.php
que comprueba los datos y si son correctos:

session_start();
$_SESSION['nombre']=mysql_result($result,0,'blablabla');
$_SESSION['mas_cosas']=mysql_result($result,0,'blablabla');

Hago algo así, mas tarde adjunto el codigo.
Lo de la transmision del SID... pos yo personalmente no hago nada con ello, en la URL no veo que se transmita tampoco...ni uso cookies.
Toda pagina pasa por el index.php donde existe un session_start(); que (según creo yo) recupera si existe los valores de las variables que definí en el auth.php.