Allora, in realtà quello di ricontrollare email e password anche dopo il login è un consiglio scritto in un libro aggiornato di php da cui sto cercando di imparare.
E i motivi che spiega il libro sono i seguenti:
se un utente per esempio si collega da più postazioni e si scorda la sessione aperta su una postazione, quella sessione sarà attiva finchè non scade e qualsiasi maleintonziato potrebbe averci accesso.
Esempio: l'utente ritornando a casa si ricorda di aver lasciato il pc dell'università acceso, decide quindi di cambiare password. Il maleintonziato che ha accesso all'altro pc verrebbe disconnesso perchè non c'è più riscontro con la password del database e quella della sessione.
ovviamente il libro chiarisce che l'importante è salvare la password in hash sulla sessione, perchè anche se qualcuno dovesse avere accesso ai file in cui si salvano le sessioni non avrebbe cmq modo in alcun modo di decifrarla, visto che la si salva in argon2I.

Io vorrei avere queste sicurezze. Come si potrebbe fare quindi se voi dite che è meglio non salvare la password in sessione?