Moje pytanie jest następujące:

Czy (i jak bardzo) trzymanie haseł i innych danych do których dostęp ma mieć tylko skrypt (a w żadnym wypadku użytkownik) w zmiennych $_SESSION jest niebezpieczne.

Chodzi mi głównie, czy jest możliwe wykradnięcie danych z $_SESSION np. przez przeglądanie nagłówków HTTP, lub w przypadku, gdy ciacho sesji jest zapisywane u użytkownika (co właściwie jest w takim ciachu? tylko PHPSESSID, czy może jeszcze jakieś dane?)

Z góry dziękuję za odpowiedzi.

Jest zasada taka, że haseł nie trzyma się w sesji.
Jeżeli ktoś chce je wykraść to tylko z jednego miejsca może. (baza danych)

Co do pytania o cookie tak tylko sid.

Nie wiem kto w ogóle wymyślił kiedyś coś takiego jak kradzież danych sesji? Przecież to niemożliwe (no dobrze - niemożliwe z poziomu przeglądarki) ,nie mówimy tutaj o super dziurawych skryptach.

Poza tym po co ci trzymać hasło w sesji to ja nie wiem.

Przecież podkradając sid usera mamy jego sesję, a tym samym jego dane, które w niej są. A to czy dane są dostępne dla użytkownika czy nie to inna sprawa.

wookieb, początkujący programiści często trzymają aby co stronę sprawdzać uprawnienia z db

Przenoszę na przedszkole.

@down=>to była tylko taka mała uwaga informacyjna na wookieba przy przenoszeniu tematu.
A że nie ma to sensu to wiadomo dlatego jest pisane że początkujący

To jaki sens ma wtedy sesja, skoro co i rusz sprawdzane są te same dane...?
Równie dobrze można by zapisać w cookie, przecież to i tak dane użytkownika.
Ale nie o to w sesjach chodzi przecież...