independientemente de encriptar o no las sessiones , deberias configurar correctamente las directivas de las sessiones , ya que veo que le preocupa la seguridad.

ini_set('session.hash_function','whirlpool'); // md5 es el algoritmo por defecto

para no propagar el id por url

ini_set('session.use_trans_sid',0);
ini_set('session.use_cookies',1);
ini_set('session.use_only_cookies',1);

solo sera accesible la cookie desde http y no sera accesible para lenguajes de script

ini_set('session.cookie_secure',0);
ini_set('session.cookie_httponly',1);

saludos amigos :O