Forum PHP.pl

Napisałem jakiś czas temu prosty skrypt logowania do serwisu nad którym pracuję i teraz wyszła mi pewna niespodzianka...
Logowanie jest takie, jakiego opisów wiele tu można znaleźć..

Mianowicie:
Wysyłamy z formularza login, hasło + jakieś dodatkowe parametry
Przyrównujemy login i hasło do rekordów zawartych w bazie danych
Jeśli login i hasło się zgadzają skrypt zapisuje do $_SESSION[czyzalogowany] = tak
oraz $_SESSION[iduzytkownika] = $jakis_identyfikator_wyciagniety_z_bazy

Na podstawie tych 2 zmiennych zapisanych w sesji użytkownik uzyskuje dostęp do określonych części serwisu.

Teraz zacząłem się zastanawiać nad bezpieczeństwem takiego logowania i zonk.
Chodzi o to że osoba zalogowana, stworzyć skrypcik wykorzystujący print_r($_SESSION); i poznać mechanizm zapisu sesji. Dowiedzieć się w jakich zmiennych co jest przechowywane i mieć na to wpływ .

Może też się okazać że piszę głupoty, bo nie do końca ogarniam tematykę sesji... Tak czy siak będę wdzięczny za odpowiedź.

Czyli z tego co wyczytałem to zmienne sesyjne przechowywane są na serwerze, identyfikator sesji na kompie i o ile ktoś nie ma dostępu do owego serwera i komputera który jest zalogowany to przez samo print_r($_SESSION) i podobne metody nic nie zdziała. Poprawcie mnie jeśli znowu się myle