Estoy apunto de lanzar mi primera "aplicacion seria" y como hasta ahora todo habian sido experimentos y cosas que no esperaba que resultasen altamente explotadas y simplemente eran para aprender, no me habia puesto demasiado paranoico con un tema en concreto, la seguridad

Y me pregunto hasta que punto son seguras las variables de sesion de php... ya que las utilizo por ejemplo para limitar mis consultas en gran gantidad de ocasiones y que a distintos clientes les sea imposible acceder a los datos de otros clientes que esten registrados en la base de datos.¿es posible que las falseen de algun modo?

ellos nunca podrían saber que ese dato se utiliza en la consulta como delimitador ni que valor de variable pueden tener pero no se si será posible que un usuario pueda recuperar de algun modo extraño las variables de sesion o modificarlas o nose...

¿alguien puede dar fé de que utilizar variables de sesión para otorgar cierta seguridad es bueno?

si que tengo muy limitado que nadie pueda loguear, controlado de todas las formas posibles que están al alcance de mi conocimiento, hasta he caído un en redundancias, pero bueno, en el login no me parece excesivo "que un script compruebe de 1 al 3 y el otro del 2 al 4" pero las páginas internas las tengo limitadas a que un usuario esté logueado o no para poder ejecutar el codigo y luego usar las variables de sesion como limitadores para los registros a los que podrán acceder y que asi las consultas de una empresa no puedan devolver las de otra.

¿dejarle esas competencias a unas variables de sesión que jamas conocerá el cliente es seguro?


---edito
las internas están aseguradas con el login correcto y que los request no incluyan ningun caracter "indeseable" y esas cosas.

Estoy un poco paranoico con la seguridad, pero bueno... creo que es algo que debe ser así para evitarse problemas serios, mas aun tal y como esta la ley de protección de datos hoy en día...