Io vedo un po' di confusione nel codice.
Per decidere se un utente è loggato o no basta una variabile in sessione e la password in sessione non ci si mette mai, quella sta bene nel db.

Quando un utente tenta il login verifichi l'email e la password inserite, se hanno riscontro nel db salvi una variabile in sessione che chiamerai come ti pare e alla quale darai il valore che ti pare. In ogni pagina riservata agli utenti loggati verifichi la presenza di tale variabile.
Se poi vuoi anche avere disponibili alcuni dati dell'utente, password esclusa, metti anche questi in sessione, ma per fare ordine li organizzerei in una struttura del tipo
$_SESSION['utente']['username'], $_SESSION['utente']['email'] ecc...