Ciao, le variabili sono di tipo $_SESSION["varName"] e a quanto ho verificato vengono salvate tutte in un file relativo alla sessione utente che viene conservato nella cartella temp di Windows sul server, quindi è tutta roba lato server tanto che con JavaScript non si può accedere a queste variabili se non sfruttando AJAX. Poi leggendo cosa fa PHP, so che da un nome casuale e univoco al file di Sessione sul server, e salva un cookie sul computer dell'utente nel quale scrive il nome di questo file.... così quando il client fa una richiesta può sempre associarlo al suo file SESSION.

Per quanto riguarda le normalizzazioni dei dati inseriti nelle form che poi vengono usati per interagire con il database uso trim() e mysqli_real_escape_string().

Mi è stato consigliato anche di codificare la password e l'username immesso dall'utente in fase di login così che dal client al server venga trasmesso l'hash e non i dati in chiaro.... anche questa è una cosa da fare giusto?