Если подменить сессию, то можно получить доступ ко всему, что пользователь может сделать и увидеть, залогинившись.
Обезопаситься можно несколькими способами, в зависимости от того, насколько критичную инфу может получить злоумышленник и насколько опасные действия он может совершить.
- Сессию можно привязать к IP и браузеру, это защитит от подбора чужого ID.
- Идентификатор сессии должен быть одноразовым и обновляться при каждом обращении к серверу.
- У идентификатора должен быть разумный срок годности (несколько часов или суток, в зависимости от уровня паранойи).
- Куки нужно передавать только через HTTPS, это до некоторой степени исключит перехват ID сессии человеком-в-середине.
- Подтверждение критичных действий по другому каналу (почта, SMS, Telegram и т. п.).
И да, что за файл Вы такой нашли-то? Это, случаем, не тот самый, в который PHP, собственно, и пишет свои сессии? Если нет, то такой файл не нужен. Если да, то в порядке паранойи можно ограничить доступ к нему на уровне файловой системы, но вообще достаточно, чтобы не было доступа из web-а.
