блин ну реально выше сказали вон)
- сделайте враппер, меняйте через какой-нибудь собственный
Session::setAccessLevel(Auth::ACCESS_GROUP_ADMIN);
.., который бы контролировать уже где это можно, а где нет через тот же debug_backtrace (и только так, типа) т.е.:
- сделайте запрет как-нибудь на прямую работу с _SESSION хз, или
- бейте по рукам при его вызове (всё должно быть по регламенту через свои интерфейсы/классы/обёртки или фреймворка. если человек делает c _SESSION / _GET / _POST etc. это уже насторожить должно, если апликуха написана на fw), на худой конец
- коменты / сопутствующие доки к проекту прилагайте, типа "так нельзя", "а тут сам себе злой оленевод будешь" и т.п.
.., а вообще от всех возможных чужих дуростей не спасёшься
