En teoría las sesiones creadas por PHP son únicas y válidas para cada cliente que las inicie.

Todo esto "que sea única" lo determina que el SID que se genera la primera vez que un cliente inicia una llamada a session_start() (y en consecuencia se genera un SID válido para esta) .. sea propagado y usado por los scripts de esa sesión en ese cliente.

Con esto quiero decir que .. si el SID válido actual se lo "pasan" entre usuarios (por el URL por ejemplo en links que un usuario pueda dejar y que otro pueda "clikear" ..) ahí podría ser posible que un usuario tomase la identidad de otro pues lo que estaría tomando es el SID válido del otro usuario.

No sé en qué sistuaciones te ocurre dicho problema ni como propagas el SID en tus apliaciones .. pero ese podría ser un problema.

Una solución a ese problema es usar cookies para propagar el SID (ojo .. digo cookies, sí . .pero sólo para el ID del SID ..) Esto lo hace PHP por nosotros si se lo idicamos en la directiva de php.ini (también se puede ajustar por script en tiempo de ejecución):

session.use_cookies ..

Y en las últimas versiones de PHP se ha mejorado la seguridad ene se aspecto .. pues se valida el "host" que emite la sesion y algunos detalles más para que no pueda "suplantar" un SID de un dominio X al Y (pero si son todos del X o del Y .. mm ahí está el problema)

Un saludo,