Sessionları en güvenli bir biçimde DB de saklayabilirsin.
MSSQL kullanıyorsan zaten SessionState desteği direkt olarak mevcut.
Normalde Session inproc tutulduğu için herhangi bir olumsuzlukta direkt ilk olarak sessionu patlatıp kendini rahatlatır.
Benim tavsiyem site Session Start olduğunda hemen Global.asax altına Session parametrelerini tanımla. Eğer patlarsa başta patlasın ki session yeniden başladığında hemen yine oluştursun. Sonrasında zaten DB içine atarsın. Sessionlarada bir şekilde en mantıklısı guid dir bir parametre atarsın. Parametreden çekersin yada yenilersin. Session ID zaten makinada saklandığı için onu istesende göremezsin. içeride saklar. SessionID eşlemesi de yaptın mı (Session IDler tekseferde browser ve OS parametreleri ile oluşturulur.) DB den çekmen kolaylaşır. Eleman makinayı yeniden kurmadan da yada sen o Datayı silmediğin sürece ne zaman girerse girsin aynı Session ID alır. Fakat Session Serial değişir o da kendi için de guid olarak tutulur. Session ID iler ne zaman istersen giren kişinin datasını ününe serebilirsin.