Si queremos que las URL’s de nuestros sitios PHP no muestren los ID de sesiones:
http://ejemplo.com/?PHPSESSID=4kgj577sgabvnmhjgkdiuy1956if6ska
Puede deshabilitarse a través del fichero .htaccess (servidores apache + cgi como DSO) o en un fichero php.ini personalizado (servidores apache + cgi ó apache + SUPHP), en los dos casos modificando el parámetro session.trans_id.
En .htaccess:
php_flag session.use_trans_sid off
En php.ini:
session.use_trans_sid = off