Wie sicher sind PHP SESSION Variablen?

Hallo,

wenn ich nach einem Loginsystem in einer SESSION Variable den Username stehen habe kann ich ja so ständig dessen Login-Status überprüfen.
Ich frage mich aber ernsthaft, ob diese Methode sicher ist.
Kann ein User es von außen irgendwie schaffen diese Variable zu überschreiben?
Wenn ja würde das ja bedeuten, dass dieser sich ohne jedes Passwort mit einem User seiner Wahl einloggen kann, indem er nur den Username in die SESSION-Variable "hackt".
Wie sicher ist denn das Ganze mit den SESSIONS und ist es vielleicht besser auch das Passwort in eine SESSION Variable zu schreiben und dieses permanent mit der SQL-DB bei jedem Seitenaufruf zu vergleichen?
Oder ist die Methode des Usernamen zu speichern die beste bzw. üblichste Variante?
Wäre schön wenn sich der eine oder andere dazu mal äußert.

ja gut die Variablen sind ja auf dem Server gespeichert. Je nach Login-System in einer Datenbank oder bei php sessions so, dass noch nichtmal der Seiteninhaber wirklich auf die Inhalte zugreifen kann.
Wie soll man da also rankommen? Bei eigenen Systemen wo die Daten in einer zB. mysql-Datenbank drin sind ist das Risiko für jede andere Information in der DB genauso groß, über Code-Injection o.ä. daran rumzuspielen. Die Möglichkeit muss man eben auf den Seiten schonmal ausschalten, dann kann auch mit den Sessiondaten nix passieren.

Oder wie hast Du das gemeint, dass Du ständig den Login-Status überprüfen kannst? Du als Webmaster mit Datenbankzugriff nehm ich an, oder?

Naja vor ein paar Jahren sagte man auch SQL Datenbanken seien sicher bis man Codes einschleuste - ebenso sagte man Windows-Passwörter seien sicher - bis man diese zurückrechnen konnte und man sagte htaccess sei sicher bis auch da Lücken gefunden wurde.
Ich meine vielleicht ist ja schon eine Lücke bekannt, indem man Code einschleusen kann, der die aktuellen SESSION VARS kontrollieren kann.
Bevor ich mich auf diese SESSIONS - bei einem wichtigen neuen Projekt - verlassen möchte, wollte ich mich lieber erkundigen, ob es evtl. auch in Handhabung mit SESSIONS einige Dinge zu beachten gibt.
Ich möchte nicht wissen wie ich Lücken finde sondern wie ich sie als webmaster schließen kann.

gerade unter PHP gilt die goldene regel, input jeglicher art ist NIEMALS sicher, muss immer validiert werden.
für deinen fall empfehle ich mal diese interessante aufstellung:
http://en.wikipedia.org/wiki/Session_poisoning

der rest zum thema sollte gut mit google unter "sessions exploit" oder session poisoning zu finden sein.