con "session.use_trans_sid" fai si che il session id si propaghi attraverso gli URL, e questa non è la scelta ottimale dato che rende questo ID particolarmente visibile e quindi più esposto a rischi, anche se così le sessioni funzionano anche sui browser che hanno i cookie disabilitati (esistono ancora?)

la gestione con DB delle sessioni non migliora la sicurezza dell'invio e della ricezione del session id, poiché dipende dai medesimi meccanismi offerti dall'HTML. Migliora invece la sicurezza delle variabili di sessione poiché, invece di risiedere in un file di testo "potenzialmente accessibile anche da altri utenti (ma è una remota possibilità), vengono memorizzate in un DB. Le sessioni su DB comunque offrono altri vantaggi non legati direttamente alla sicurezza.