Estoy implementando un sistema de usuarios : login y password. de tal manera que al entrar a ciertas paginas solo se pueda acceder si es que una variable $_session que sirve como flag, de el permiso para hacerlo. Pero tengo la duda de que si en un eventual ataque de hacking, pudieran forzar desde el lado del cliente y crear dicha variable $_session como activa.... podrian por favor absolver esta duda ? gracias