Anche se c'è il rischio dello sniffing dell'id di sessione, in realtà il rischio è limitato, stai passando l'id di sessione in get solo all'utente che sta navigando il sito, e l'id di sessione serve per recuperare la sessione e servirla all'utente che l'ha richiesta.

Teoricamente se io dall'url che hai postato prendessi il PHPSESSID e lo usassi per visitare il tuo sito potrei vedere la sessione, ma dovresti comunque essere tu a passarmelo (oppure potrei prendermelo sniffando il traffico).

Potresti evitare di passarlo via get usando i cookie come memorizzazione della sessione, e anche cosi non saresti immune allo sniffing, ma perlomeno non lo avresti nell'url (questa è comunque un impostazione della configurazione di php, e se sei in hosting non puoi farci molto).

In ogni caso, perchè mettere username e pass in sessione?
SE un utente si logga, gli chiedi user e pass, li verifichi e poi in sessione metti solo l'id dell'utente che si è loggato, magari con una variabile logged=1, ma perchè mettere la pass in sessione?

ciao