Cita: infinitas gracias por toda su colaboracion... voy a dejar el sistema de esta forma no se si tenga repercusiones negativas... si las hubiera me gustaria saber cualaes son..
Siempre que el directorio que indiques en session_save_path() quede "fuera" de tu DOCUMENT_ROOT de tu própio sitio no tendras problemas de seguridad.
Si usas un servicio de hosting donde tienes el tipoco directorio "public_html" o similar donde ahí publicas tus páginas HTML/PHP/etc y que son accesibles vía URL tipo:
http://www.tal.tal/nose/archivo.tal .. create un directorio para las sesioens que esté "arriba" de ese public_html para que no quede accesible vía HTTP (por el URL). Sino, .. conociendo el SID (que lo ves en la cookie/url donde lo propages) y poniendo sess_SID en el URL (
http://www.tal.tal/sesiones/sess_SID) podrías acceder a una sesión abierta y leer todos sus datos desde el navegador ...
Si en tu hosting no puedes dejar fuera un directorio del alcance del "DOCUMENT_ROOT" . .usa al menos algún .htaccess/.htpass para proteger ese directorio (u otra configuración del servidor HTTP para tal fin).
Un saludo,