Если под «фырканье» вы имеете в виду «фырканье злоумышленника,« посередине »прослушивающего весь сетевой трафик между сервером и клиентом», единственный верный способ - использовать https.
Независимо от того, добавляете ли вы SID к URL-адресу, SID все равно отправляется как файл cookie, а если вы не используете HTTPS, этот файл cookie отправляется в незашифрованном виде.
Флаг httponly очень хорошо защищает от атак XSS - см. Сообщение в блоге, на которое ссылается VolkerK, - но не от снифферов
(... если это глагол)
Вам, вероятно, нужно четко определить, от какого типа злоумышленника вы пытаетесь защититься, чтобы получить больше ответов.