Переменные сессии всегда хранятся и защищены на сервере. При использовании реализации по умолчанию PHP по крайней мере. Так что да, до тех пор, пока все установлено правильно.
Клиенту отправляется только уникальный идентификатор, идентифицирующий сеанс.