ein Benutzer loggt sich auf unserem Online-Portale (PHP) ein. Momentan wird bei richtigem Login mehrere Verzeichnisse des Kunden in eine Session-Variable gespeichert.

Mich interessiert ob das sicher ist

Sicher ist das insofern, als dass der Benutzer keinen Zugriff auf diese Daten hat. Das ist letztlich der eigentliche Sinn des (allgemein üblichen) Sessionsystems: Zum Benutzer wird nur eine eindeutige Kennung geschickt, die eigentlichen Daten bleiben unsichtbar und unangreifbar auf dem Server.