Dalla variabile GET il cui nome è settato nel php.ini. In genere è PHPSESSID.

In ogni modo, la propagazione della sessione via biscottini è (leggermente) più sicura: io userei solo quella. Se i clienti non abilitano i cookies (ma dove mai s'è visto, ripeto ogni volta?) affari loro, non saranno conformi alle richieste minime per l'utilizzo del programma.