Pues si, .. con ese SID a la vista podría "alterarlo" (el SID es aleatorio .. así que cosa inprobable que pudiera tomar otro SID válido pero podría suceder).

Lo ideal es propagar el SID en una cookie (se fuerza con conifiguración de PHP) para evitar dar al usuario "a la vista" el SID que por otra parte es insprescindible que se propage ya que "asocia" los datos de tu sesión (tus varibles en ellas y sus valores) con el cliente que las inició bajo ese SID. (Identificador Único de sesión).

Un saludo,