Para hacer un sistema seguro necesitas:

- no enviar al cliente más información que la necesaria
Las variables de sesión cumplen esto, ya que al cliente se le envía nada más un identificador. Ninguno de los demás datos almacenados en la sesión llega al cliente.

- no confiar nunca en los datos recibidos del usuario
siempre, siempre hay que filtrar lo que se recibe, y nunca se lo debe pasar a una consulta SQL sin filtrar.

- se debe revisar que la carpeta donde PHP crea los archivos de sesión sea escrita únicamente por los archivos de tu sitio web, en vez de que sea compartida, para evitar "envenenamiento de sesión". Lamentablemente no es algo que puedas manejar si tu plan de alojamiento no es dedicado, ya que es parte de la configuración de PHP.

- No propagar sesiones vía URL, a menos que se regenere el SESSID frecuentemente (en cada carga de página). Las cookies son más seguras en este sentido.

Creo que son las reglas básicas. El código que pusiste es seguro, siempre y cuando el resto del sistema lo sea (ese par de líneas son inútiles por si solas)


Saludos.