al momento è su macchine locali ma potrei portarlo in hosting (quindi pubblico), perchè no.

Che intendi per "configurato male il server"? quali parametri di apache e php dovrei controllare, esattamente?

Se non voglio che la sessione scada alla chiusura del browser, devo mettere nel cookie il sess_id o anche altri parametri?

Per ciò che dicevo prima sui cookie che vedo usare in giro, per esempio, questo forum nel cookie invia:
bbpassword (immagino sia l'md5 della pw)
sessionhash (l'hash della sessione? se sì, calcolato come?)

Non poteva semplicemente lasciare il cookie di sessione sul client e il file di sessione (con tutte le info importanti) sul server come faccio io?