lo que guarda php en sessión es un HASH del numero aleatorio generado para el usuario, los datos de la sesión se almacenan en el servidor, y es muy baja la probabilidad de duplicar la sesión de un usuario, además en la configuración de php puedes cambiar incluso el algoritmo por SHA1, MD5 u otro.

te repito, una de las formas más comunes de robar la cookie de la sesión es por XSS.