Witam,

chę aby użytownik który dodaje / edytuje wpis w portalu musiał potwierdzić operację otrzymanym kodem sms przed zapisaniem wpisu do bazy sql.
Myślałem żeby dane z formularza przy dodawaniu / edytowaniu wpisu - wrzucać do zmiennych $_SESSION i dotatkowo generować losowy kod sms
który tez wrzuce do $_SESSION[kod] oraz wysle go sms na numer uzytkownika. Następnie uzytkownik wpisuje w pole otrzymany kod
a system porownuje wpisany kod ze zmienna $_SESSION[kod] jesli jest taki sam to wpisuje dane z $_SESSION do bazy...

pytanie czy jest to dobra metoda ? czy bedzie bezpieczne wrzucenie wygenerowanego kodu do $_SESSION[kod] czy moze ona zostac jakos odczytana przez uzytkownika ?

Użytkownik nie ma bezpośredniego dostępu do sesji.

czyli ogólnie rzecz biorąc metoda którą opisałem wydaje się być optymalna i bezpieczna ?

Nie, tego nie powiedziałem, dlatego ze nie wiem co dokładnie chcesz zabezpieczyć. Brałeś pod uwagę że użytkownik może zmienić przeglądarkę/zakończyć sesję/restartować komputer?

zalezy mi na tym aby kod sms byl bezpieczny... uzytkownik musi go dostac na tel. i tylko tam go poznac...

Kod SMS w sumie działa jak Captcha.

Wykonujesz akcje -> generujesz losowy ciąg znaków -> wysyłasz SMS/wyświetlach captche.
Kod musisz gdzieś zapisać (przechować) i tutaj może być to baza (można jakoś archiwizować dodatkowo wpisane kody) ale bardziej logicznym jest właśnie sesja.
Sesja jest nietrwała i to nawet lepiej - nikt nie czeka na wpisanie kodu kilku godzin więc jest to dodatkowe zabezpieczenie (wygaśnięcie sesji).