IPさえわかれば他人のセッションを取得できるので,
セッションハイジャックの危険性は非常に高くなると思います。
一般的な非固定の共有式IPでは意図せずに他人のセッションを取得できてしまうあたりが
非常に危険です。
危険かどうかの前に、期待通り動かない可能性があります。
そのWebサーバにつながってくるクライアントって、NAT とか IPマスカレードのようなグローバルIPアドレスを共有する仕組みを使ってないという保証はあるのでしょうか。
NAT などでのセッション継続時間は短めに設定されるのが普通です。
「セッション」といっても、質問文で書かれているセッションとは違い、NAT などでいうセッションは HTTP の1リクエストに相当します。
例えば、NAT のセッション継続時間が三分に設定されているとします。
PHP で作った画面は、飛行機の予約のように複数ページから構成されてて、次々と画面が移っていくような形になってるとして、2ページ目を表示している間に、トイレに行くなどして5分ほど放置してしまうと、3ページ目に遷移したときのリクエストでは、IPアドレスが変わっている可能性があります。
IPで識別できるかどうかは、ネットワーク構成に依存します。ネットワーク構成は、どのようになっていますか。
前回答のNATの他に、proxyサーバを使っている端末があれば、アプリケーションサーバからは、proxyサーバのIPアドレスから通信してきているように見えます。
ほかの回答や検索で調べた結果、今は構造上大変危険ではないけど、絶対安全とも言えないのが真実ではないかと思います。IPアドレスが変わってしまえば接続できなくなるので。今は安全のためIPアドレスが変わるのが主流です。
稀に固定IPで契約することもあるけれど。
セッション変数でも完全に安全ではないというサイトもありました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294390/
NAT/IPマスカレード
http://y-kit.jp/inet/page/masquerade.htm
proxyサーバー
http://www5.plala.or.jp/vaio0630/proxy/proxy.htm
IPアドレス
http://rikuntyudady.blog101.fc2.com/blog-entry-727.html