I veri pericoli sono che tu mandi un link ad un amico con l'id di sessione e che tale link venga usato prima che la sessione scada, o che qualcuno presente fisicamente sbirci l'id mentre sei al pc.

Il pericolo dello sniffing sussite anche con i cookie e non è una debolezza di PHP, è una debolezza del protocollo HTTP. Quindi di qualsiasi linguaggio server side

La soluzione, nei casi in cui la sicurezza è davvero fondamentale, è usare ssl, ovvero il classico url https://