Nemutagk, precisamente por eso mencioné (aunque realmente no es tan fácil):

Robo de sesión (session fixation): actualmente muy pocos servidores (sitios) están configurados para enviar la ID de sesión por URL en lugar de almacenarla en cookies, aunque en ambas formas se puede robar la sesión, principalmente cuando el equipo es compartido entre varios usuarios y en lugares públicos.

Inyección de sesión (session poisoning): Esto sólo puede ser causado por mala validación en los scripts, cosa que todos aquí en FDW advertimos a otros usuarios, pero no falta quien aún tiene $_SESSION['usuario'] = $_GET['usuario'].

Por otra parte, si no verificas todos los datos que tienes en sesión estás propenso a errores como los que mencionaba por la posibilidad de cambios en el sitio mientras el usuario finaliza el proceso.

Suena muy paranoico?, sí, de acuerdo, pero supongamos que el usuario inició el proceso, se le pide ingresar sus datos y las variables de sesión ya están creadas, después sigue navegando por el sitio durante un tiempo, mientras el administrador realiza cambios en precios y condiciones; posteriormente el usuario finaliza el proceso con los datos almacenados en sesión... qué pasa si los precios ya no son los mismos (mal menor) o si el plan que reservó ya no está disponible (se eliminó, no hay cupo, etc.)?