Ich würde (fast) immer beides anbieten. Beides ist in etwa gleich sicher (wenn man nicht gerade den Link http://www.example.com/?sid=12345678...34567890abcdef postet!)

@Sessions sind kompliziert
Das kann ich nun wirklich nicht bestätigen
PHP-Code:
<?php
# Mit Sessions...
session_start();
if($_SESSION['a'] != 'a')
{
   $_SESSION['a'] = 'a';
}

# Mit Cookies...
if($_COOKIE['a'] != 'a')
{
   $_COOKIE['a'] = 'a';
}
?>
Ganz ohne php.ini mit einer Zeile mehr - schlimm, oder?