A mio parere se un login va male distruggo l'id di sessione e lo rimando al login, magari tramite una pagina intermedia in modo da eliminare ogni traccia precedente.

Per valutare a fondo bisognerebbe vedere come trasferisci i dati. Se te li ritrovi potrebbe essere dovuto a $_POST e non a $_SESSION.

Con una pagina intermedia di solo redirect elimini il problema.