Naja, ich setze voraus, dass Nutzer Cookies anschalten, zumindest für die Verweildauer des Besuches. Wer diese nicht einschaltet, muss auf mein Webangebot verzichten. Ich halte das aber auch für ok, denn wer sich informiert, sollte schnell feststellen, dass Cookies völlig harmlos sind und allenfalls zum Usertracking missbraucht werden können.
Aber um ganz sicher zu gehen dass es auch bei Cookieparanoiden läuft kann sonst nur noch eine Session-ID über die Browserzeile weitergereicht werden, was in meinen Augen umständlich erscheint, außerdem durch den Anwender manipulierbar ist.

wo ich grad beim Thema bin:
@yankee:
Es gibt doch auch die Möglichkeit mit session_register anstatt
$_SESSION["blabla"] :="mein Variableninhalt";

Ich habe damit bisher öfters herumexperimentiert, allerdings nie zuverlässig auf die session-registrierten variablen zurückgreifen können. Ich nutze daher ebenfalls die $_SESSION["blabla"] Methode.
Hast Du damit Erfahrung?