Jedyne co na teraz przychodzi mi do głowy to tworzenie zmiennej sesyjnej przy logowaniu na podstawie statusu z bazy danych. Czy bezpiecznym jest przechowywanie tego typu informacji w sesji?

Jasne. Sesje trzymasz po stronie serwera.