Beh, la cosa da fare sempre, a mio avviso, è quella di criptare il contenuto della sessione (così come quella dei cookie) magari con un base64.
In secondo luogo ti consiglio di settare due sessioni, una con l'autorizzazione e una con l'id dell'utente (anche quello criptato e magari aggiungici qualche numero o moltiplicalo qualche volta).
Dopodiché sconsiglio di usare nomi facili da capire, come: Accesso, id_utente o permessi.
Usa nomi assurdi, tipo: _temp, fuso_orario o messaggio_di_benvenuto.
Fatto ciò puoi farti un doppio controllo: se l'utente è loggato e se l'id esiste nel database e ha i privilegi per poter vedere quell'area riservata, allora può navigare, altrimenti viene rimandato alla pagina form.htm.