@tandu для infotekkas указывает, что дальнейшее действие также будет заключаться в том, чтобы не использовать имя файла cookie PHPSESSID по умолчанию, так как это будет то, на что будет смотреть угонщик. В любом случае, нет более безопасного пути, чем использовать SSL.
ужны подробности о сессиях. Каковы недостатки сессионных переменных? Между куки и сессиями, какой из них лучше?