a ok ahora comprendo, tengo una duda, cuando el usuario registrado logra ver PHPSESSID=XXXXXXXXX es normal que el usuario registrado vea esta propagacion de su propio SID, no representa una forma en que ese mismo usuario pueda hackear la pagina ya que el SID queda visible para el, existe la forma de ocultarlo sin usar las cookies y sin desactivar la opcion de propagacion automatica de url.