ATTENZIONE è esattamente l'opposto di quello che dice
GUIDOZ!

salvare i dati dell'utente in un file di sessione è un'operazione mooooolto deprecabile se non si ha il sito su un server dedicato!

Infatti i file di sessione vengono scritti in una cartella del server e quindi possono essere letti.

L'unico modo per avere un sistema di Login più efficiente e sicuro possibile è usare le sessioni nel database.

qui trovi un articolo

http://freephp.html.it/articoli/view_articolo.asp?id=97

inoltre ci sono discussioni sull'argomento aperte pochi giorni fa (anche se non funziona il motore interno penso che scorrendo le oagine del forum le dovresti trovare subito )