como te he dicho no hace falta ni logearse para entrar a tu zona restringida xD
y una vez ahi se puede inyectar código al insertar noticias y tal, por no mencionar que se puede como has dicho borrar todas las noticias de la base de datos xD
eso es una lamerada ... xD
recomendación, comprobar los datos de la sessión antes de utilizarlos, y hacer la comprobación doble que el user y el pass sean buenos (en todas las zonas en las que quieras meter seguridad) te haces una función que haga todo eso y listo
lo de seguridad y tal en las consultas y subidas de archivos...
yo creo que te pueden hacer de todo, por ejemplo:
si alguien logra entrar, sube un achivo y le mete una url en la noticia todo el que entre y la clique mismamente, quedaría infectado... y eso es lo primero que se me ha ocurrido
asi que filtra las subidas (k son un par de ifs)
a mi por de pronto no se me ocurre nada más que comentarte