valida con isset($_SESSION['']), es mucho mas seguro, en cuanto a las cookies, las sesiones internamente las usan, además te dan la opcion de no usarlas con enable_trans_sid, pero no te recomiendo lo anterior