comunque un dato sensibile come una password andrebbe criptato. Considera che se il webserver è apache, la sessione è salvata nella directory tmp. Se si tratta di un hosting, tutti i virtual server usano la stessa directory.