Ciao.

Dai un occhio pure qui

Sto implementando una classe per il login

Ti dico le cose che faccio
tralascio il js.

Controllo pass e username
(la select ha limit 1)
se ottengo un record
faccio l'update del campo random uid
lo salvo in una sessione
faccio una query con il where=uid
e lo uso in tutto lo script
sistema per slogare dopo un cero lasso di tempo
per il logout setto uid a null e unset la session

una cosa che sto provando a fare
è questa

$_SESSION['id']=hash
$_SESSION[$_SESSION['id']]=hash
su quest'ultimo faccio la query

si può aggiungere la validazione sia
dell'input sia delle sessions