携帯サイトでセッションIDをURLで引き回す構成だと、
リファラからURLが漏洩して、それがセッションハイジャックのネタになるってのがあったりします。
セッション機能を利用する携帯サイトでSSLも使っている場合、
他サイトの画像（広告とか）を掲載しなければならないときって一体どうしてるんだろ。

http://q.hatena.ne.jp/1106292147
http://ke-tai.org/blog/2007/12/12/php_session_new/
http://ueblog.natural-wave.com/2008/04/20/mobile-id/
http://d.hatena.ne.jp/m_norii/20080806/1218032059
http://d.hatena.ne.jp/maru_cc/20080512/au_ssl_cookie
http://d.hatena.ne.jp/mizincogrammer/20080630/p1

DoCoMoはリファラ送らないからまぁヨシとして、
auとsoftbankってcookieを使う・・・なんか挙動がすごく怪しそう。
「セッションに端末IDを食わせてチェックする」+ 「IP制限」が現実的な解なのかな。。。

あと session_regenerate_id。
ただ、URLにセッションID付加の場合、「戻る」ボタンが効かなくなるんだよね。

そもそも画像自体を自サイトで持つという手があるのだけど。