Bezpečnost se dá rozlišovat na dvě úrovně.
První úroveň bezpečnosti je "bezpečnost vůči okolnímu světu".
Zajištění této bezpečnosti není tak složité, pokud nastavení skriptu neobsahuje hrubou chybu a pokud je nastavení serveru rozumné (např. není dovoleno stahovat libovolné soubory a procházet je na serveru).

Druhou úrovní je zabezpečení proti někomu kdo má na server "přímý přístup" - tedy další správce.

Na tvém skriptu se mi jako laikovi a běžnému uživateli nelíbí už odpohledu jedna věc.
Nastavuje se tam $_SESSION['login'] na 1, jestliže je uživatel přihlášen.
Ovšem co se stane, jestliže někdo podstrčí pomocí nějakého rozšíření Firefoxu (např. tuším live headers) $_SESSION['login'] = 1 přímo ?

Přístup by asi měl být přímo vázán na proměnnou obsahující heslo od uživatele, než na nastavení jiné proměnné na trvalé hodnotě.....

BTW: databáze je jen prostředek na uchovávání dat. Jestli jsou data nakonec brána z databáze nebo někde ze souboru je formálně úplně ukradené.