Yo también uso el mismo código que tu usas, pero si tienes chrome haz la prueba y dale Inspeccionar elemento en cualquier parte de tu web, ve a Resources, Cookies y vas a ver que a pesar que no usaste cookies, php automáticamente genera la cookie PHPESSID de la que habla el compañero. Es la forma como se propaga la sesión, de lo contrario tendrías que estar logueando en cada página de tu web.