В смысле, безопасно ли то, что PHP автоматически добавляет ID сеанса ко всем ссылкам? Ведь ID, по-моему, можно выкрасть и использовать чужой сеанс.
В любом случае ID всегда передается, или через ссылку, или через куки. А чтобы выкрасть, человек должен стоять сзади и на листик переписывать этот ID. С другой стороны, сессии живут некоторое время. Это значит, что если кто-то выкрал ID, то должен им воспользоваться почти сразу же, чтобы сессия не умерла по итечению срока.