Ist das ganze halbwegs sicher, oder könnte man die Session manipulieren und sich Zugang zu der Seite verschaffen?

Ich arbeite nicht mit PHP
Aber ich vermisse den Begriff Session-ID als einen unique und komplexen String, der statt der Userdaten zur Identifikation zwischen User-Agent und Server verwendet wird.

Denke daran, dass alle Daten, die auf einem PC landen (inklusive Cookies) manipuliert werden können.
Weder sollte der Username noch seine Rechte an den Browser gesendet werden, sondern nur die Session-ID.

mfg Beat