se nel file di sessione non c'e' nulla .... significa che e' vuoto. E se e' vuoto che problemi puo' dare?

Tu apri una sessione, invii il cookie al client crei un file di sessione vuoto. Questo file di sessione lo valorizzi solo nel momento in cui l'utente risulta verificato. Alla pagina successiva se il browser del client non e' stato chiuso ed il timeout lato server ancora valido, viene ripreso lo stesso file di sessione ed il contenuto reso disponibile allo script.

Piuttosto devi tenere presente che se la cartella dove si trovano i file di sessione fosse la /tmp questa e' leggibile e scrivibile da chiunque. Chiunque nel senso di user del server.