Premesso che totalmente, completamente per gli esseri umani sono cose relative, le sessioni sono uno strumento.

Se lo utilizzi al meglio le sessioni sono pressoche' inespugnabili, se lo utilizzi malamente potrebbero essere insufficenti. Ma insufficenti per cosa? Se devi utilizzare le sessioni per gestire valori sei fuori strada sul mezzo. Se devi verificare uno user invece sono piu' che sufficienti.

Una delle cose errate che fa un user sprovveduto e' per esempio registrare nel file di sessione la password in chiaro. Se si e' polli si fa coccode'. questo e' scontato.

Molto piu' importante e' come gestire questi dati con lo script, piu' che del posto in cui le memorizzi. Anche se memorizzare i dati in un db potrebbe dare un senso maggiore di sicurezza. Ma chiudi le porte e magari si puo' accede dalle finestre....

In altre parole la sicurezza dipende principalmente da come e' configurato un server e dal suo mantenimento allineato con gli aggiornamenti.