Sesijai vari piekļūt tikai tu pats, ko tur saglabāsi, tas tur arī būs.
Vienīgi, sesijas var nozagt, konkrētāk, ja tev lapā ir kāds xss caurums, tad ļaundaris var ievietot tur kādu ļaunu js kodu, kas nozog lietotājiem sesijas identifikatoru, kas glabājas sīkdatnē. (PHPSESSID parasti). Vēlāk viņš šo sīkdatni var izmantot, un uzdoties kā apzagtais lietotājs (piemēram, administrators).
Lai no tā izvairītos, sesiju var piesaistīt, teiksim, lietotāja IP (nav labs variants, ja lietotājam mainās IP regulāri (wifi, dinamiskā IP)), vai pārlūka versijai (USER_AGENT). Šos identificējošos datus saglabā sesijā un katru reizi nočeko, vai viņi sakrīt ar reālajiem - ja nesakrīt, sesija ir zagta - unset($_SESSION).