cominciamo dall'inizio, tu passi un valore in get per vedere se l'utente è in sessione, ma cosa succede se io forzo l'url in modo da farti credere che io sia in sessione?

quale valore passi ?

Se passi l'id di sessione ok, perchè difficile da recuperare se non lo conosci, ma se passi un semplice index facile da duplicare ci sono dei seri problemi di sicurezza.

Quando parli di sessioni parli delle sessioni vere e proprie o solo di una variabile che imposti tu?

ciao