Beh, se uno riuscisse ad accedere al codice della pagina PHP penso che a quel punto il valore della variabile di sessione sarebbe l'ultimo dei tuoi problemi.