Eu tenho uma pergunta sobre sessões. Como você faz uma sessão / cookie de login seguro. Eu estava olhando para este exemplo em que eles adicionam essa matriz à sessão:

$data = array{

    username = $_POST['username'];
    is_logged = true;

}

Eu queria saber se isso é suficiente? Não é possível alterar o nome de usuário no cookie para algo ou alguém? Qual seria uma boa maneira de fazer isso?

Ou isso é completamente seguro e estou perdendo alguma coisa?

Além disso, o que vocês acham sobre o armazenamento de sessões no banco de dados? Eu sei que o CI possui uma função integrada para fazer isso. Isso causa problemas em termos de desempenho ou vale a pena marcar?