Hola! muchas gracias por las respuestas. Lo de escapar los datos es algo que ya tengo en cuenta (ya estoy escarmentado de un pequeño XSS que me hicieron) y siempre uso funciones como mysql_real_escape_string(), htmlespecialchars() y stripslashes() para filtrar cualquier dato que envie el usuario.

Basicamente lo preguntaba porque el codigo que he puesto unicamente comprueba 2 valores que podrian ser facilmente modificables por un atacante aunque aun no tengo claro el nivel de dificultad que pueda entrañar (no se hasta que punto se puede falsear una variable creada por una sesion o una cookie).

Supongo que lo de no enviar mas datos de los necesarios os referis a no enviar por ejemplo la contraseña aunque esta venga cifrada con algun algoritmo ya que siempre existe forma de romperlos...es asi?