Admin giriş sayfasının kodları

if (("kullaniciadi"==$formdan_gelen_ad ) and ("sifre"==$formdan_gelen_sifre)){

$_SESSION["admin"] = "dogru";

Adminin görebileceği sayfaların en başınada

if ($_SESSION["admin"]==dogru){

//SAYFANIN İÇERİĞİ

}

Bu yöntem yeterince güvenli mi sizce?
Kullanıcı herhangi bir şekilde session yazabilir mi?
Ya da giriş sayfasını indirip, kodları şifrelediğim halde çözüp k.adı ve şifreyi görebilir mi?