O gerenciamento de sessões nativo do PHP ($_SESSION) é vulnerável a roubo de cookies caso parâmetros básicos de segurança não sejam alterados nas configurações padrão do servidor.
1. Blindando o Cookie da Sessão
Antes de rodar o session_start(), force o navegador a aceitar cookies apenas via HTTP (bloqueando leituras de scripts JS perigosos) e exija criptografia de SSL (HTTPS).
session_start([
'cookie_lifetime' => 0,
'cookie_secure' => true,
'cookie_httponly' => true,
'cookie_samesite' => 'Strict'
]);