Pués creo que lo más seguro es que las guardes en la base de datos, así las controlas mejor (por ejemplo las puedes asociar a las IPs en vez de crear cookies con la ID de la sesion en la máquina del visitante y de esta forma nadie podrá robar sesiones, aunque al cambiar las IPs dinámicas se perderían los datos).

El problema de las sesiones en la base de datos es ¿cómo las borras? Tendrías que crear un programita para que elimine las que esten caducadas de vez en cuando para que no se acumulen(en Windows es fácil, en Linux menos) o hacer un administrador y limpiarlas cada cierto tiempo. Pero seguro que es más seguro.

Las sessiones con archivos en el servidor y cookies en el ordenador del visitante son lo más fácil pero "gente mala" puede robar IDs de sesiones de otras personas y asignarselas a ellos, de esta forma pudiendo sacar datos confidenciales, aunque hay métodos para prevenir esto(por ejemplo, al abrir sesion crear un $_SESSION["user_ip"] = IP_DEL_USUARIO y cada vez que se haga una operacion con variables guardadas en las sesiones que se compruebe que la IP del usuario es la guardada en la sesion.

Depende de que tipo de sitio estas creando.