Hallo Hans-Peter,

eine Session-ID ist nicht 100%ig eindeutig, aber eindeutig genug, dass du sie getrost als 100% ansehen kannst. Nichtsdestotrotz bliebe z.B. die Möglichkeit die Session zu kapern, z.B. per Link-Kopie an jemanden anderes.
Sicherheit bekommst du z.B. weiter in dein Script, indem du die gespeicherte Session-ID nach erfolgreichem Logout löschst. Weiter würde ich dir empfehlen, ebenfalls die IP zum Login-Zeitpunkt mit zu kontrollieren, damit eben der Login-Link nicht verteilt werden kann.
Deine Überprüfungen sollten weiter über Dateien erfolgen, die irgendwo im Serverroot liegen und nicht per http aufrufbar sein!

Was jedoch am allerwichtigsten ist (gerade weil du schreibst "halbwegs sicheren..."
Validiere alle Benutzereingaben, ob es sein kann bzw. darf, damit nicht über eine SQL-Injection eine "bewusst falsche" Eingabe zur Herausgabe aller SQL-Daten führt...

Ansonsten kann ich dir noch angehängten Link empfehlen, wo man einige Einblicke in sichere Programmierung bekommt.

Hoffe einigermaßen weitergeholfen zu haben...