Tengo una pregunta sobre las sesiones. ¿Cómo se hace una sesión / cookie segura de inicio de sesión? Estaba mirando este ejemplo donde agregan esta matriz a la sesión:

$data = array{

    username = $_POST['username'];
    is_logged = true;

}

Me preguntaba si esto es suficiente? ¿No es posible cambiar el nombre de usuario en la cookie a nada ni a nadie? ¿Cuál sería una buena manera de hacer esto?

¿O es esto completamente seguro y me estoy perdiendo algo?

Además, ¿qué piensan ustedes acerca de almacenar sesiones en el DB? Sé que CI tiene una función incorporada para hacer esto. ¿Esto causa algún problema en cuanto al rendimiento, o vale la pena cambiarlo?