php сохраняет идентификатор пользователя в сеансе?

Мне интересно, каковы риски сохранения идентификатора пользователя в сеансе?

затем просто выполнить

if(isset($_SESSION['user_id'])){
  login_user($_SESSION['user_id]);
}

Достаточно ли зашифрованы сеансы, чтобы нам не пришлось беспокоиться об их хешировании ? Каковы шансы, что кто-то сможет изменить свой идентификатор?