Se vuoi un ottimo grado di sicurezza devi ricorrere ad SSL.
Se invece ti interessa semplicemente mantenere un buon grado di sicurezza basta non salvare nelle sessioni dei dati che modificati potrebbero alterare lo stato di login.
Ad esempio se salvi nella sessione l'user id o l'username corri senza dubbio dei rischi.
Se invece salvi un id di sessione generato pseudo-casualmente e conservato anche nel tuo DB già diventa qualcosa di un po' più sicuro.