Moje logowanie na sesjach wygląda tak że raz sprawdzam czy $form_uzyt i $form_haslo jest prawidłowe i ustawiam zmienną sesji $ses_uzyt=$form_uzyt i później tylko sprawdzam czy zmienna ta nie jest pusta.
Dopiero co zacząłem używać tego rodzaju logowania i zauważyłem że można łatwo to obejśc znając nazwę zmiennej sesji. Wystarczy ustawić tą zmienną w adresie przegladarki (.../private.php?ses_uzyt=ktokolwiek)
Jeśli macie logowanie realizowane w podobny sposób to radzę to sprawdzić
Ja swoją stronę zabezpieczyłem w ten sposób że czyszczę $ses_uzyt zanim ją zarejestruję.