при входе на сайт пользователю присваивается $id на основе его id в базе
$row = mysql_fetch_assoc($rez);
if (пароли совпали)
...
$_SESSION['id'] = $row['id'];
$id = $_SESSION['id'];
далее при каком-либо действии, требующем авторизации, просто передается этот $id. вопрос: может ли злоумышленник записать в суперглобальный массив любое значение id? правильно ли вообще идентифицировать пользователя по его id в базе? если нет, то как это нужно делать?