Personalmente farei come fanno quasi tutti. Sotto il form del login metti un avviso che da quel punto in poi i cookie devono essere abilitati altrimenti niente ciccia per i gatti.

Insomma un utente che non abilita jscript e cookie puo' serenamente andar a cantar in altra corte. In altre parole vorrebbe poter avere una connessione chiamiamola "privilegiata" per accedere a contenuti chiamiamoli "riservati" senza farsi riconoscere... ma quando mai....

Per rispondere allo specifico di brutusin Non devi preoccuparti di come si rigira i cookie l'utente sono suoi e ne fa quello che gli pare. Semplicemente tu fai la tua strada. Se il cookie non viene memorizzato perche' l'utente non accetta i cookie tu lo rimandi ogno volta al login. Cosi' si puo' fare il famoso giochino di chi si stufa prima.

Per default funziona pressapoco cosi': al sessione_start() il server genera un nuovo file di sessione ed invia l'id di sessione corrispondente al client tramite un cookie (di sessione) che rimane in memoria (del client). Elaborata la pagina il server serializza il contenuto di $_SESSION (altri modi tipo session_register li usava mia nonna) nel file di sessione teste' creato.

Quando l'utente fa un cambio pagina o refresh inviera' al server questo cookie di sessione. Il server verifica se esiste il file di sessione che porta il nome dell'id di sessione (di solito con un prefisso sess_ ) ... ma attenzione: lo verifica quando lo script esegue session_start(), Se non esiste apre una sessione nuova e invia un nuovo cookie di sessione al client, se invece esiste recupera deserializzando i dati del file di sessione ricreando l'array $_SESSION e mette a disposizione dello script i dati recuperati. Ovviamente rispettando i tempi di validita' della sessione nel tempo e per fare cio' viene valutato data/ora corrente rispetto alla data/ora dell'ultimo accesso al file.

Non ci sono solo i file per memorizzare questi dati di sessione, ma anche il db tipo sqlite, in pratica l'handler (il maneggiatore) puo' anche essere definito dall'utente. Se lo sa fare. Siccome mancano le info su come fare si puo' presumere non si sia incoraggiati a questa pratica. Facile da capire: se e' personale poi devi gestire tutto tu e non addebitare problemi vari al php.