Подделать сессию == подделать куку индентификатора сессии. Если у злоумышленника есть куки сессии, то абсолютно все равно как в сессии вы храните авторизацию. Если их нет, то ему никак не поможет то, что в сессии просто флаг авторизации. По безопасности два этих способа - хранить auth=1 или какой-то там хэш ничем не отличаются. Ну можно с небольшой натяжкой сказать что auth=1 чуть безопаснее, потому что хэш вы-то от пароля храните, а значит в случае получения файлов сессии у злоумышленника есть гипотетический шанс попытаться восстановить пароль по хэшу, в случае если ему попадут в руки файлы сессий.
