eso si, ese es el siguiente paso, pero lo que estoy tratando de hacer ahora, es que no sea siquiera posible ponerse a hacer pruebas ni llamar a páginas que reciban formularios mediante curl por ejemplo si no se es usuario registrado, o que por muy registrado que estés no puedas llamar a las páginas de administracion si no eres administrador, que las llames desde fuera pero que recibas un die

por eso me preocupa tanto ahora mismo si es posible modificar las variables de sesion de algun modo que no sea aprovechando fallos mios.