In questo modo rendi ancora più vulnerabile un punto debole di PHP, quello di poter impostare "manualmente" l'id di sessione. mettiamo il caso in cui tu acceda ad un'area riservata; se io riuscissi a sniffare il tuo SESSION_ID potrei utilizzarlo per impersonare te sul sito semplicemente chiamando una pagina "riservata", accodando all'url PHP_SESSION=xxxxxxx. C'era un interessante articolo su questo meccanismo, che purtroppo non riesco più a trovare.
Cmq come dicevo all'inizio questa è già una debolezza di PHP, che sussiste anche utilizzando le sessioni normalmente...