El tema de robo de sesiones no tiene nada que ver donde estan guardadas, y es simplemente por la naturaleza de como funcionan.

Las sesiones en PHP y en otros lenguajes se manejan por un identificador de sesión, este es propagado entre todos los requests HTTP ya sea en forma de una cookie o en la URL, pero siempre es transmitido.

Este identificador de sesion lo que permite es que el lenguaje en el servidor sepa que sesion utilizar.

Lo que se hace al robar la sesion es generalmente via XSS inyectan un código javascript en tu pagina, y redirigen pasando el valor de las cookies, y en esta va el SessionID y con este SessionID pueden logearse en tu pagina haciendola pensar que es la sesion del usuario original.

Las formas de proteger las sesiones son varias, una es filtrar TODO el input que viene para evitar XSS, otra es usar otro motor de sesiones para que antes de iniciar la sesión verifiques que la IP sea la misma, en caso contrario marcas un error.

Saludos.