Aunque te "olvides" de las cookies, siempre van a existir cuando uses sesiones. (enable_trans_sid)
Podrías por ejemplo, después de la validación del login, generar una cadena aleatoria encriptada, y guardarla en la BD, al refrescar la página la cadena sesion se compararía contra la BD y si son idénticas, es una sesión válida, sino pués existe algún fallo.
No se si me he explicado muy bien ??????????