usa i cookie... non saranno il massimo della sicurezza ma almeno l'idi lo registri sul client e lo hai sempre disponibile in $_COOKIE