Si ves vulnerable el solo poner: $_SESSION['userid'] = "blabla";

Si encima también guardas la contraseña, lo más logico es que se lo pones aún mas facil jejje

Y bueno para una mejor seguridad es algo que muchos se pregunta cada vez que se programa un sistema de usuarios.

Saludos.