Ottima osservazione darkita, non fosse per il fatto che, se per rubare un cookie qualsiasi servano 15 secondi ( e dipende, se hai accesso fisico al pc o vai per xss ), per rubare il cookie dell'id di sessione ce ne stai 5, visto che sai anche come si chiamerà tale cookie.
Quindi anche quando pensi di essere molto più al sicuro con le sessioni, in realtà stai ancora affidando la sicurezza delle tue informazioni sensibili ad un cookie.
Se quello che devi proteggere non è il server della NASA in cui ci sono video di autopsie di alieni, allora a livello di protezione non ti cambia niente. Come puoi rigenerare periodicamente l'id di sessione in php, puoi anche studiarti un tuo sistema di sicurezza, magari con controlli all'ip o al browser o altro ancora, non implementati nelle sessioni in php.
Altrimenti, puoi usare le connessioni SSL.
