- session_start() due volte?... bhè la seconda è superflua

- session_register() lo puoi rimuovere e crei la variabile di sessione semplicemente ricorrendo alla variabile globale $_SESSION mentre session_registred() lo puoi rimuovere e fare il controllo con un semplice isset($_SESSION['autorizzato'])

- il criptaggio con md5 va benino (si dovrebbe creare una funzione di criptaggio migliore o quantomeno una funzione con un hash più complesso) ma in ogni caso ciò comporta la modifica anche del file della registrazione / modifica password / password dimenticata