Если вы собираетесь потребовать от своих пользователей включить cookies при просмотре ваших веб-сайтов, то можете воспользоваться функцией ini_set:
ini_set('session.use_only_cookies', 1);
С такой настройкой трюк с ?PHPSESSID= будет полностью проигнорирован. Если вы воспользуетесь этой мерой безопасности, также рекомендуется проинформировать ваших пользователей о том, что для работы с вашим сайтом требуются cookie, чтобы они знали причину, по которой им не удается получить требуемых результатов.
| Предотвращение фиксации сессии | Использование общего сервера |