Salve ho una domanda da fare , volevo capire che rischi ci sono a impostare username e password arbitrarie e modificabili solo tramite codice , faccio un esempio per spiegarmi meglio

ho un semplice form
codice:
<form class="" action="dologin.php" method="post">
      


      <input type="text" name="username" value="">
      <input type="password" name="pw" value="">
      <input type="submit" name="invia" value="Invia i dati">
</form>
e dologin.php

che fà :

codice:
if (isset($_POST['invia'])) {
  if ($_POST['username']==pappa AND $_POST['pw']==ciccia) {
     $_SESSION['adm']=1;
  }
  
}

e poi utilizzo questa variabile di sessione per eseguire una serie di operazioni quali rischi posso correre?