クッキーは安全です
ただクッキーが漏れる原因になるXSSには気をつけてコーディングしてくださいね
$_SESSIONが誰もアクセスできないかというとそうではない
共有サーバの場合特に何も設定してないとtmpに作成されるので
tmpに共有サーバの他ユーザがアクセスできるような環境だと以下略