セッションデータに入れるのは
・そのユーザーのみに関係するデータ
・本体がデータベースに入っているので、消えても構わないデータ

で、これに上記のユーザー名が該当する
セッションデータは、データベースに入っているユーザー名のキャッシュの役割
Cookieを消した場合など、セッションが消えてもデータベース内のユーザー名は消えない

セッションとデータベースのセキュリティはプログラマー次第
用語を挙げとくので調べなさい
・セッションハイジャック
・SQLインジェクション
http://note.openvista.jp/2008/php-security-memo/