Где хранятся пользовательские параметры на более низком уровне?Параметры фильтра например.Я не думаю, что это печенье, так где оно?И это безопасно?Например, может ли пользователь каким-то образом изменить их и проникнуть на сайт?
По умолчанию ваши файлы сеансов хранятся в папке session.savepath, так что это на стороне сервера. Связь между этим файлом сеанса и файлом cookie пользователя - это идентификатор_ сеанса, который хранится в файле cookie сеанса.
возможно, вам следует прочитать: PHP Session Security