Ну а если без особых условий? Например кодинг не через жопу без LFI и скюль + есть относительно нормальные хостинг где админы не только пива в себя постоянно заливают но и работают хотя бы для приличия и не делают tmp и web диры одну на всю вселенную.
Кубик Рубик не слушай пашкелу он хекер, он может и не такое . В подавляющем большинстве все именно так и поступают можно еще сделать привязку ид сесии к ипу+браузеру, да и в файлах сессии будут лежат не логин и пароль от систем запуска баллистических ракет.