Ты получишь доступ к сессии другого пользователя.

Да, это так. Это и небыло большим секретом ни для кого. Файлы сессии связаны с пользователем только идантификаторами хранимыми в куках или передаваемыми как дополнительный аргумент в ссылке.

5, почему? Вполне нормально.
Сразу предупрежу, у тебя код немного делает не то, что нужно.
Но если я получу доступ к твоим кукис и подставлю сессию - тогда получу доступ.
От этого делают защиту, к примеру, в сессию прописывают ip, и если он не совпадает - то сессия удаляется, но это больше приносит неудобств, чем реальных плюсов, к примеру, в опере мини часто могут менятся ip, или я сидел в кафешке с бесплатный вай-фай, а затем отключил его и через телефон зашел - сразу вылечу с сессии.
Поэтому лучше особо не заморачиваться по этому поводу.
Если хакнут - это уже проблема посетителя. Да вообще все взломать можно, зависит от усилий хакера.

EmptyZero, ну давай взломай тогда какой-нито сайт. Например этот, в скрипте phpbb такой же принцип действия авторизации.
Напиши как ты будешь узнавать идантификатор сессии.

EmptyZero, зачем их применять к своему, их можно хотябы записать в файл, а потом уже и применять что надо.