Данные отправляются в сеанс только тогда, когда пользователь, как разработчик, вводит их в сеанс с помощью кода, который вы пишете. Поэтому сеансы так же безопасны, как и данные, которые вы им позволяете, и то, как вы доверяете этим данным и используете их. Кроме того, сеансы основаны на идентификаторе сеанса, который клиент использует для идентификации пользователя сеанса. Если кто-то похитит sessionID, он может эмулировать пользователя, у которого украли идентификатор сессии. Это может происходить при отсутствии связи по SSH. Поэтому не доверяйте идентификатору сеанса для идентификации пользователя (для важных вещей), если он не вошел в систему и идентификатор сеанса не был передан только в безопасном режиме.
Следующим вопросом безопасности будет «угадывание» идентификатора сеанса, который вы отправили пользователю. Если вы разберетесь с вещами, о которых я упоминал выше, к тому времени, как вы пройдете через это и документацию, вы поймете, насколько «угаданы» идентификаторы сессии PHP.
Наконец, следите за атаками XSS. В Интернете есть несколько сообщений, объясняющих, как свести к минимуму заболеваемость XSS.