[PHP] Bezpieczne logowanie (sesje), Parę pytań odnośnie bezpieczeństwa Opcje

[Agape]

Wiem, że temat był już miliony razy, ale dużo wypowiedzi tu i ogólnie w internecie jest z przed paru lat więc może już są nie do końca aktualne.
Piszę strone sklepu i chce jakoś zabezpieczyć sesje przed znanymi atakami.

1. W artykułach jest napisane, że lepiej stosować cookie, ponieważ w URLu sesje mogą zostać łatwo przechwycone (chociaż można stosować regenerate), ale gdzieś czytałem, że lepiej jest przekazywać w URLu bo cookie są na komputerze usera i może je podmieniać (myśl nie była rozwinięta). Co Wy o tym sądzicie?
2. Naczytałem się trochę o zabezpieczeniach i mi się pomieszało. Jak to jest, że kod:

[PHP] pobierz, plaintext 
if(isset($_SESSION['user']) && $_SESSION['user']==1)
[PHP] pobierz, plaintext 

może być bezpieczny (przynajmniej sugeruje to umieszczanie kodu we wszystkich poradnikach). Nie można podmienić jednej danej w sesji oszukując system? Może bardziej warto pobierać z sesji jakąś dane którą można porównać z tą w bazie danych ?

3. Lepiej jest stosować SH1 od MD5? A może SH2?

4. Jak najlepiej przefiltrować dane tekstowe z formularzy. Wystarczy addslashes, czy bardziej warto stosować preg_match które pewnie jest dłużej wykonywane.
Wiem, że w przypadku gdy z GET czy POST pobiera się liczby, addslashes niczego nie zabezpiecza ale chodzi o tekst.