Mam takie pytanie odnośnie bezpieczeństwa $_SESSION.
Jeśli loguje się w taki sposłób:

[PHP] pobierz, plaintext 
if($zapytanie = $polaczenie->query(
				sprintf("SELECT id_users, haslo, login, monety FROM users WHERE login = '%s'",
				mysqli_real_escape_string($polaczenie, $login))))
				{
					$ile_login = $zapytanie->num_rows;
					if($ile_login > 0)
					{
						$wiersz = $zapytanie->fetch_assoc();
 
						if(password_verify($haslo, $wiersz['haslo']))
						{
							echo "zalogowany";
							$_SESSION['zalogowany'] = true;
							$_SESSION['id'] = $wiersz['id_users'];
							$_SESSION['login'] = $wiersz['login'];
							$_SESSION['monety'] = $wiersz['monety'];
							$_SESSION['ranga'] = $wiersz['id_rangi'];
 
							$zapytanie->free_result();
							header('Location: '.linkGenerator('news').'');
						}else{
							header('Location: '.linkGenerator('logowanie').'');
						}
					}else
					{
						header('Location: '.linkGenerator('logowanie').'');
					}
				}else
				{
					throw new Exception($polaczenie->error);
				}
[PHP] pobierz, plaintext 

i do tego na podstronie stosuje

[PHP] pobierz, plaintext 
if(isset($_POST['submit']))
	{
		try
		{
			if($polaczenie->connect_errno != 0)
			{
				throw new Exception($polaczenie-mysqli_connect_errno());
			}else
			{
                                  [color="#FF0000"]$login = $_SESSION['id'];[/color]
 
					if(!$zapytanie = $polaczenie->query("SELECT * FROM message WHERE id_user = $login"))
					{
						throw new Exception($polaczenie->error);
					}else
					{
                                               //wyypisanie wiadomosci
                                        }
 
                           $polaczenie->close();
                        }
                 }
        }catch(Exception $e)
{
echo $e;
}
[PHP] pobierz, plaintext 

To czy ten drugi zapis jest bezpieczny? (Zaznaczyłęm na czerwono o które fragmenty głównie mi choodzi).

Czy pobieranie z takiej sessi do zmiennej jest dobre i czy można w taką sesję ingerować przy tym zapisie?

Masz karygodny blad
$login = $_SESSION['id'];

powinno byc
$id = $_SESSION['id'];


Staraj sie trzymac nazewnictwa bo potem sie pogubisz przy wiekszych projektach.
Co do pytania to tak, tak sie zazwyczaj robi.

Dla pewności nigdy nie dopuszczaj aby dane szły do zapytania niebindowane. Gdzieś tam sobie zmienisz, nawet przez przypadek, że $login = $_POST... i problem.
Możesz też zmienić http://php.net/manual/en/mysqli-driver.report-mode.php, wtedy blokiem try/catch zgarniesz wszystko.

Dlaczego kolega sprawdza hasło w PHP zamiast od razu w MYSQL ? Przecież to o wiele wydajniej i bezpieczniej niż pobierać w ogóle hasła do skryptu.

A jak ma sprawdzić zakodowane hasło od razu w bazie?

A na przykład tak dla md5:

[SQL] pobierz, plaintext 
$sql = "SELECT id_users, haslo, login, monety FROM users WHERE login = '%s' AND haslo = '".md5($_POST['haslo'])."'"
[SQL] pobierz, plaintext 

Zdajesz sobie sprawę że md5 już się nie korzysta + do hasła dodaje się sól + twój kod jest podatny na DoS bo zezwalasz na wsadzenie nieograniczenie długiego ciągu znaków do funkcji hashującej?

Chłop się zahibernował w 2000 i teraz powrócił