Lo que te comenta Francisco01 es "correcto" aunque si es posible engañar al navegador, ya que el ID de la sesion se guarda en una cookie. Por lo que si alguien consigue hacer un ataque XSS a tu pagina podria sacar el valor de tu cookie, y hacerse pasar por un usuario que ya este logueado.

Para prevenir esto debes de hacer varias cosas, una de ellas es limpiar todas las variables que vienen del usuario, tanto de POST, GET, y COOKIE. Tambien es buena practica nombrar tus sesiones:
Saludos.