Lo que se publica con las sesiones no es el id que hayas codificado, sino el ID de la sesión que PHP usará para conectar con los datos que guardó. Por lo que la forma segura es con sesiones porque se guardan del lado del servidor y no hay forma (a menos que el usuario entre al servidor) para obtener los datos.