Если вы опасаетесь возможных проблем с безопасностью, стоит озаботиться защитой от подобного, например, считать переданный SID корректным только тогда, когда передан также и md5-зашифрованный ID самого пользователя. Пример не идеален, но суть одна и та же.
Собственно от передачи разнообразных параметров в url (в том числе и sid) я лично проблем не вижу, проблемы могут быть от недостаточной защищенности.
