Infatti ma in quel modo non ha senso...
Se la variabile esiste vuol dire che è settata. E viene settata con l'id dell'utente. Perchè non dovrebbe dare sicurezza? Essa viene settata solo a login eseguito, se non viene eseguito il login la variabile non esiste, quindi non è settata.