Ciao, il PHPSESSID è semplicemente un valore alfanumerico generato automaticamente ogni volta che avvii una sessione PHP, con la funzione session_start(). Questo valore va a salvarsi automaticamente in un cookie, $_COOKIE['PHPSESSID'], ed è grazie a quest'ultimo se poi il server riconosce l'utente. Il PHPSESSID basta e avanza per riconoscere un utente, non c'è bisogno di salvare variabili di sessione all'interno di cookie, specie se sono dati sensibili... apriresti solo una falla nella sicurezza. Che poi i cookie non siano sicuri di per sé, quello è un altro discorso, ma esistono modi per evitare furti di sessioni (per esempio controllando l'IP), così come esistono altri modi per identificare gli utenti, ma non credo che tu possa fare a meno dei cookie per gestire le sessioni. Se trovi una soluzione alternativa fammi sapere, sono curioso.