クライアントに送信されるのはセッション識別子であり、セッション変数ではありません。これらのセッション識別子は、通常、クライアントのクッキーとして設定されます。もちろん、ユーザーがブラウザやクライアントからセッション識別子(たとえば、クロスサイトスクリプティング攻撃を使用して)を取得した場合は、自分のクライアントでセッション識別子を設定し、他のユーザーとして偽装できます。
しかし、セッション変数は通常 $ _ SESSION 配列の値を参照します。 http://www.php.net/manual/en/functionを参照してください。 session-start.php を参照してください。これらの値は、ネットワーク経由でクライアントに送信されることはありません。
セッション識別子を保護することに関しては、最初の段落ですでにブラウザにクッキーとして保存されていることを説明しました。 HTTPセッションでは、クッキーはサーバーとクライアントの間で平文で送信されます。これは盗聴に対して脆弱です(例えば、パケットを通過させるルータ上の人があなたのパケットをキャプチャし、そこからセッション識別子を読み取る可能性があります)。この問題を克服する最善の方法は、代わりにHTTPSを使用することです。