Le problème est la je pense, dans un environnement ou on ne maitrise pas du tout l'applicatif déployé, la seule solution potable est d'utiliser la solution traditionnelle des fichiers à plat avec de la bidouille éventuellement (nfs sur tmpfs ...) ?
Il n'y a pas grand-chose à faire contre ceux qui réécrivent leur propre mécanisme de session. Même avec nfs sur tmpfs, tu ne te prémunies pas contre ceux qui écrivent leur sessions dans un répertoire local au site web. Il me semble, par exemple, que le framework CodeIgniter à un système bien à lui de gestion des sessions à base de cookie uniquement. L'exemple n'est pas bon car dans ce cas cela ne cause aucun problème, mais c'est pour montrer qu'on trouve de tout comme pratique en la matière.
Peut-être que tu devrais commencer par regarder quels sites redéfinissent la variable "session_set_save_handler" dans leur code et considérer qu'en mettant en place memcached + repcached de manière générique sur tes serveurs, tu protège plus de XX% de tes clients et tu soulages ton serveur NFS. Et tant pis pour ceux qui redéfinissent leur propre mécanisme de gestion des sessions.
Sinon, tu peux essayer d'interdire l'utilisation de "ini_set()" avec le paramètre "disable_functions". C'est un peu sauvage, je te l'accorde :)
Florian