ini_set() fuerza la configuración de PHP .. todo depende de los permisos que tenga la configuración de PHP que uses (por ejemplo en "safe_mode" no podrías usar ini_set() ...).

La configuración de php también se puede hacer vía archivos .htacces (afectará a todo script de ese directorio/subdirectorios y no sólo al script en concreto como el caso de ini_set()).

El tema de session.use_trans_sid = ON u OFF no es el "fondo" del problema .. sino el hecho de que el SID (identificador único de sesión) se propague o no por el URL .. (no se propagaría por el URL si usas sesssion.use_cookies = ON ). Con la directiva session.use_trans_sid a ON .. los URL's no tendrás que insertar manualmente el SID en ellos .. (sean redireccionamientos .. formularios, links .. etc) a OFF tienes que hacerlo a mano completamente en todos esos casos.

El problema de propagar el SID en el URL suele ser el que se use ese mismo SID que referencia a una sesión (con datos activos) en tu servidor desde otro sito .. ejemplo cuando se pone un link en un foro, chat, se escribe en un e-mail .. etc. donde aparece ese SID (http://www.nose.tal/nose.php?PHPSESID=asdf7979asflk3j4). En estos casos, si la sesión sigue activa (no expiró) podría usarse para continuar la sesión activa desde otro sitio y por ende estaría el usuario en una sección "autentificada" de tu sitio (origen de la sesión) .. así que podría entra a realizar cualquier acción de ese "usuario" validado suplantando su identidad.

Un saludo,