После некоторого изучения этого вопроса, пришел к выводу, что довольно безопасно: файл создается на сервере, ни в коем образом не передается клиенту. Может я заблуждаюсь?
нет - не заблуждаешься, клиенту передается только идентификатор сессии либо через COOKIE, либо через GET параметр запроса (если COOKIE не поддерживаются клиентом и включена соответствующая настройка в PHP на сервере), чтобы рпи открытии следующей страница сервер понял что это пять тот же самый пользователь.
И что может произойти с данными, если сервер не поддерживает кукисы, а у клиента они включены?
во первых, может наоборот - выключены в браузере куки? Ибо как написал ты, то просто сессия будет идти через GET параметр - то все штатно.
во вторых, с какими данными? если механизм сессий не работает, то никаких данных и нет.
Если же ты решил потереть или поменять идентификатор сессий в браузере, то данные на сервере будут храниться то тех пор, пока у них не истечет срок жизни (который указывается в настройках сессий php).
p.s. Я бы посоветовал еще поразбираться с этим механизмом. Т.к. судя по вопросам ты не до конца уловил суть этого всего)