Si usas una variable de sesión, es muy dificíl que sea vulnerable, esto es porque las variables de sesión se almacenan en el servidor, y no en el cliente.

La única forma que pudiera ser vulnerable es si tu sitio es vunerable a XSS, y te roban la cookie de la sesión, pero si tienes cuidado y filtras todas tus variables de entrada entonces no vas a presentar agujeros de seguridad.

Saludos.