las variables de sesion se guardan en el servidor, las que se guardan en el cliente son la cookies por eso es mas recomendable usar variables de sesion a cookies en un sistema de logueo, para asegurar un poco mas esto es bueno que filtraras tus variables, en este tema se se habla sobre una duda similar