Ci ho pensato su e devo parzialmente rettificare...

Io in genere preferisco usare database in quanto mi consente di condividere le sessioni tra più dominii differenti, ma se il server è ben configurato e gli script php non sono fatti in modo approssimativo i files non sono meno sicuri del DB.