La sesion no es necesario que la "encriptes" ... por algo se conservan en el servidor .. Eso sí, si usas un servicios de hotsing con el /tmp (o donde se guarden las sesiones) comun para todos los "servidores virtuales" que tenga ese servidor .. podrías tener algún problema de seguridad .. Pero, todo pasa por la configuración de ese servidor en el que no te dejen acceder a ese directorio fuera de tu sitio (con SAFE MODE se solventan muchos poblemas así ... y algunos otros ajustes) ..

Por lo que respecta a tus "scripst" y carpetas .. No tiene nada que ver a nivel seguridad .. Sólo a nivel de ordenamiento de tu sitio.

Por supuesto .. si tus scripts los guardas como funciones.inc .. por ejemplo .. o usuarios_passwords.txt o usuarios_passwords.dat .. Si yo entro algun directorio de tu servidor sin opcion "Indexes" que me muestre el listado de archivos de ese directorio . .voy a ver facilmente esos archivos .. los voy a "clikear" y voy a ver esos datos o ese código de funciones.inc ...

La solución para eso es bien simple .. llamalos a todos como .php (que sean ejecutables por PHP). Si conoces como funciona PHP .. veras que en esos casos .. si no hay ningun echo " ..." o código que envie salida al navegador no veremos mas que una página en blanco ..

El tema de los .txt .dat con datos .. e incluso los propios códigos que llamas via include() y que contienen funciones/classes .. etc. Deberias tenerlos "FUERA" de tu documment_root, es decir, .. en un servicio de hosting normalmente tienes:

/www/ --> aquí metes tus paginas HTML y PHP ...
/cgi-bin/ --> si dispones de CGIs .. aquí los pones
/stats/ --> estadisticas .. si las dispones ..

Ok, .. sería crear un directorio ahí en tu "raiz" de tu sitio tipo:

/datos-funciones/ .. y guardar ahí todos tus archivos que llamas via include() .. o archivos de datos en texto plano como datos.txt .. etc ...

Luego haces las llamadas a tus "scripts" esos con accesos absolutos: (algo tipo:)

/usuarios/sitios/sitio_tuyo/datos-funciones/

Hay muchos aspectos más de seguridad .. Por ejemplo en el tema de controlar los mensajes de error que dan tus funciones que puedan desvelar rutas de archivos ... De tu programación; como recoges las variabels de session, de cookies, de un formulario (por get o post) .. osese, que si usas los arrays super globales o lo asumes todo como global .. Si haces consultas a una BD .. cuidado con el tema de "SQL inyection" ...de controlar los rangos de los registros que consultas (para no provocar errores si el regsitro no existe ..) etc etc ...

Un saludo,