Андреас Богк около года назад дал несколько очень разумных рекомендаций по устранению криптографической слабости в логике генерации ключа сеанса в версиях PHP 5.3.2 и более ранних, что сделало сессии PHP более уязвимыми для "перехвата сеанса" (что, кажется, является вашей главной заботой), чем они должны были быть.
И Przemek Sobstel написал общий каталог типов атак (включая перехват сеансов), нацеленных на механизм сеансов PHP, более 4 лет назад вместе с предложениями по их снижению. Последняя версия PHP с тех пор несколько раз менялась, как и «ландшафт угроз». Но с тех пор типы атак не сильно изменились, и ни один из них не рекомендовал лучшие практики.
Если вы хотите определить вашу подверженность риску, вам придется более точно определить свой сценарий (реализацию, среду и т. Д.).