Le sessioni sono salvate sul server, ed è impossibile (o comunque poco possibile perchè non convenievole) che un attaccker le legga.
Utlizzando le sessioni rendi le pagine visualizzabili solo alle persone che hanno effettuato il login, ma non ti proteggi da attacchi CSRF.
In più leggi la guida linkata (anche per le CSRF), è una delle migliori in giro, c'è praticamente ogni sicurezza possibile.