Ну, все, что делает cookie - это удерживает большую некрасивую строку, сгенерированную вашей системой в качестве идентификатора сеанса этого пользователя (SID) для вас. Если у вас нет файлов cookie, цель состоит в том, чтобы этот идентификатор безопасности отправлялся при каждом запросе от этого конкретного пользователя.
Создание скрытого поля формы с указанием SID необходимо, когда вы принимаете ввод от пользователя. Вероятно, вам следует немного почитать об уязвимостях межсайтового скриптинга - в любом случае, вы можете их устранить, пока вы в любом случае манипулируете своими формами.
Добавление данных в ссылки (через строку запроса) обычно называется «перезаписью URL», так что просто посмотрите это для подробностей. В результате каждый раз, когда вы выводите ссылку, она должна иметь SID в качестве одного из параметров в строке запроса.
Например: "http://mysite.com/action?SID=da83fdec49ebfafe4"
Некоторые фреймворки могут обрабатывать перезапись URL полупрозрачно.