Tekrar söylüyorum, session sunucuda saklanır, ve dışarıdan erişilmesi/düzenlenmesi mümkün değildir.. Sen Cookie ile karıştırıyorsun..
Nette her yazılana inanma, test ederek görebilirsin.
o dediğinizde haklısınız fakat PHPSESSIONID cookie'de saklanıyor ve kullanıcı rahat bir şekilde içeriğini okuyabiliyor. Veri tabanında saklamak daha güvenli. Cookie ile karıştırmıyorum. bence böyle bir sistemde kullanıcıya 0 erişim verilmeli.