Такой вопрос: есть таблица пользователей id (автоинкремент), login, password
при входе на сайт пользователю присваивается $id на основе его id в базе

$row = mysql_fetch_assoc($rez); 
if (пароли совпали)
...			
$_SESSION['id'] = $row['id'];
$id = $_SESSION['id']; 	

далее при каком-либо действии, требующем авторизации, просто передается этот $id. вопрос: может ли злоумышленник записать в суперглобальный массив любое значение id? правильно ли вообще идентифицировать пользователя по его id в базе? если нет, то как это нужно делать?