Napisałem sobie klasę do obsługi sesji, zrobiłem to bez ciastek, użytkownik jest rozpoznawany po IP i przeglądarce. Czy to wystarczy, czy trzeba dać gdzieś cookies...jeżeli tak to dlaczego?

Takie rozpoznawanie nie jest pewne, można łatwo zafałszować te dane, ciasteczka są pewniejsze.

Czyli połączenie sprawdzanie na podstawie ip i przeglądarki + ciasteczka jest najpewniejsze.