Es interesante eso que decis de evitar el ataque XSS.... pero hay algun ejemplo por la red dando vueltas porque realmente es un proyecto personal y no tengo mucha idea... o sea lo que yo hago es nombrar la $_SESSION con el nombre del usuario en ningun momento guardo nada en alguna cookie creo...
El session_start lo tengo en la conexion a la base de datos para ahorrar escribirlo en todas las paginas.... esta bien esto?
Cita:
Iniciado por GatorV 
Lo que te comenta Francisco01 es "correcto" aunque si es posible engañar al navegador, ya que el ID de la sesion se guarda en una cookie. Por lo que si alguien consigue hacer un ataque XSS a tu pagina podria sacar el valor de tu cookie, y hacerse pasar por un usuario que ya este logueado.
Para prevenir esto debes de hacer varias cosas, una de ellas es limpiar todas las variables que vienen del usuario, tanto de POST, GET, y COOKIE. Tambien es buena practica nombrar tus sesiones:
Código PHP:
session_name( "miaplicacion" );
session_start();
Saludos.