Además, qué le impide a un hacker introducir una SID modificando la url ?

Podría hacerle creer a php que es un usuario registrado con permiso si usa una SID que otro usuario está usando en ese momento.