Mahlzeit,

$_SESSION['lang'] kann nur als 'de' oder 'en' definiert werden,
weshalb das ganze KEIN Sicherheitsloch is ;)

In allen scripts, die unter dieser Domain laufen?
Und alle Scripts sind so sicher, dass dir niemand Fremdcode unterjubeln kann um damit seine Session zu manipulieren?
Dann muss ich sagen, Respekt. 100% sichere Scripte zu schreiben schafft kaum jemand ...