Revisastes en php.net (www.php.net/ini_set) si todas las directivas que pretendes "forzar" en tiempo de ejecución (y que supongo que forzaras en todos los scripts que intentes usar sesiones) se pueden alterar vía ini_set() ? .. NO todas las directivas de PHP (en general) se pueden modificar de esa forma, algunas sólo se puede vía .htacces o sólo vía php.ini

Sobre el tema de seguridad en la propagación del SID .. tienes ya por defecto (PHP) la directiva:
session.referer_check

Que hace esa validación de "IP->Cliente"

De la versión en ingles de la documentación .. hay sale este documento (que no se si leistes)
http://www.acros.si/papers/session_fixation.pdf

Por mi parte prefiero propagar el SID en cookies (pese que ello implica que mis clientes han de permitir cookies, cosa que ya aviso). Y tiempo de expiración (session.gc_maxtimelife) corto o 0 junto con la cookie definida a 0 segundos de expiración. (configurado vía php.ini)

Un saludo,