las sessiones son seguras siempre y cuando se manejen como debe de ser , para loguear un usuario necesitas crear sessiones y/o cookies lo mejor es una combinacion de ambas , por otro lado todo lo que viaje de pagina a pagina nunca pero nunca lo dejes en texto plano deberias de codificarlo y/o encriptarlo , nunca guardes en una session la contraseña del usuario , comprueba otros datos crea sessiones con un codigo unico creado en la bd que solo le identique a el , esto lo puedes hacer un rand() en el momento de registrarse , rescata informacion de las cabeceras y en todas las paginas las vas comprobando nuevamente para certificar que es el que dice ser .

mas o menos esa es la idea

en este post hablamos un poco de este tema
http://www.forosdelweb.com/f18/sesio...-como-1004311/