Mam $_SESSION['login'] i na podstawie tej zmiennej sesji, jeżeli istnieje, to np wkładam do bazy zapytanie dla użytkownika sesji. Czy to jest bezpieczne? Co obsługuje sesję, przeglądarka użytkownika czy serwer? Czy da się podmienić sesje? Jak załóżmy mam w sesji użytkownika Krasnal, to da się, zeby jakiś intruz zrobił z tego np. Ayrox?

Poczytaj o session hijacking i session fixation i ogolnie o bezpieczenstwie (nie tylko sesji) i samych sesjach.
Nie bede tlumaczyl co to sesja itd., jest naprawde sporo ciekawych i wyczerpujacych artykulow w necie, na forum.